eKav antivirus — разблокировать и удалить навсегда!

Один из авторов, участников украинского форума «Бiблiотека», Wladimir Mutel рассказал свою историю о том, как он удалял eKav antivirus с двух компьютеров. Он рассказывает, что 06 января удалил с двух независимых машин эту заразу (eKav antivirus). Со стороны пользователя, на его мониторе eKav antivirus выглядит, как обыкновенное наглое вымогательство – на экране зараженного компьютера появляется баннер, напоминающий по стилю дизайна антивирус Касперского, и настоятельно требует выслать платную СМС на четырехзначный номер, и после этого система будет разблокирована, иначе через короткое время компьютеру пользователя, словившего вирус, станет очень не сладко. Никакие другие программы не запускаются. Баннер eKav antivirus находится поверх всех окон и не дает ничего делать.

Первый случай

На первом компьютере пришлось загрузиться с Alkid SE и разыскивать на винчестере недавно созданные исполняемые файлы. Стер несколько новых библиотек *.dll из пользовательского профиля, презагрузил компьютер в обычный Windows – никакого результате, баннер eKav antivirus не перестал появляться при запуске любой программы. Опять загрузился с Alkid SE и в разделе системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows очистил значение AppInit_DLLs, открыв при этом ветку рееста software на винчестере по пути \windows\system32\config\. В указанном месте было имя ничем не примечательного файла в \windows\system32\... затем двоеточие и за ним случайный подбор цифр, букв и знаков препинания.

Известно, что в системе NTFS в комплекте с любым файлом есть возможность хранить один или более дополнительных потоков информации (технология NTFS streams) с именами, добавляемыми к имени родительского файла и указываемыми через двоеточие от имени основного файла. Также известно, что операционная система Windows дает возможность исполнять команды, содержащиеся в этих потоках, при упоминании их в соответствующих ветках системного реестра или конфигурационных переменных. Авторы вирусов и программ-вымогателей и eKav antivirus в том числе знают об этой технологии и пользуются ею.

После такой очистки, при перезагрузке Windows в обычном режиме все приложения стали запускаться и работать, а eKav antivirus перестал себя как-либо проявлять.

После проверки системы, приложение AutoRuns определило, что в системе находится еще один вирус с исполняемым файлом sdra64.exe. Для того, чтобы избавиться от него, надо было загрузиться с Alkid SE еще раз и удалить исполняемый файл из ветки \windows\system32 и в программе Regedit стереть его из списка Userlnit в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

После этих манипуляций остался запрещенным запуск утилиты Regedit, диспетчера задач и всех имевшихся на машине антивирусных программ. Через Интернет, который работал на тот момент, была скачана программа RegistryFix (сайт программы) и через нее был восстановлен запуск приложения Regedit. C помощью этой же утилиты был запрещен запуск исполняемых файлов и потоков информации в вышеуказанных каталогах с помощью механизма политик Windows XP, Safer. В разделе KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths были вычищены все подразделы с каталогами, запрещенными при проникновении вируса. После следующего перезапуска системы появилась возможность установить и обновить Zillya, MBAM и с помощью последнего просканировать всю машину. Сканирование позволило удалить остатки «зараженных» файлов и восстановить настройки реестра, которые были нарушены вредоносной программой eKav antivirus. Все настройки приложений и данные были сохранены, система была полностью работоспособной.

Второй случай

На втором компьютере, который был поражен eKav antivirus с помощью Alkid SE были удалены все новые библиотеки *.dll и вычищены AppInit_DLLs и Safer\...\Paths. После перезагрузки в обычном режиме был установлен MBAM, который просканировал машину и помог стереть остатки вредных файлов и восстановить настройки системного реестра в их прежнее состояние.

Домыслы

1. Подлецы, выпустившие в свет eKav antivirus оказались умными людьми, знающими не только операционную систему Windows, но и психологию рядового пользователя, уверовавших в непогрешимость антивирусных программ. Кроме того, они подгадали выход eKav antivirus под новогодние каникулы, когда он будет сразу обнаружен только на домашних компьютерах, а основная масса зараженных машин, находящихся в офисах и на предприятиях, будут включены только после 11 января 2010 г. Антивирусные базы пополнить с них будет невозможно, а большинство системных администраторов со своими скудными знаниями не будут знать, что делать с открывшимся баннером eKav antivirus. И многие тысячи неискушенных пользователей будут посылать СМС-ки на короткие номера, указанные на этих баннерах. eKav antivirus будет оставаться очень популярным в нашем обществе еще очень долго.

2. Необходимо быть очень осторожным при посещении сайтов кустарного производства на бесплатных хостингах типа narod.ru, ukoz.ru, by.ru и пр. Надо уметь отличать полезный контент от вредоносных баннеров, рекламы, всплывающих окон и баннеров. Лучше всего пользоваться последней версией Mozilla FireFox, который проверяет все сомнительные адреса по огромной централизованной базе корпорации Google.

  1. Уведомление: На смену eKav antivirus приходит вымогатель - Internet Security | БЕЛАЯ ШЛЯПА

  2. Олег

    Спасибо! Очень помогло. Компьютер ожил. Сам бьюсь уже несколько часов. Даже из-под линукса уже лечил др.вебом. А помогло только удаление перечисленных Вами тут ключей реестра. Моя очередь снимать шляпу!! Кстати это был Internet Security как раз. Выглядит точно так же, только вместо eKav Antivirus написано Internet Security.

    1. eavasi

      @Олег, спасибо Вам, отличная информация. Спасибо, что написали о результатах, очень многие ленятся это делать и читатели не знают истинного положения вещей. 😛

  3. Олег

    Спасибо! Очень помогло. Компьютер ожил. Сам бьюсь уже несколько часов. Даже из-под линукса уже лечил др.вебом. А помогло только удаление перечисленных Вами тут ключей реестра. Моя очередь снимать шляпу!! Кстати это был Internet Security как раз. Выглядит точно так же, только вместо eKav Antivirus написано Internet Security.

    1. eavasi

      @Олег, спасибо Вам, отличная информация. Спасибо, что написали о результатах, очень многие ленятся это делать и читатели не знают истинного положения вещей. 😛

  4. sedv

    Если вы в очередной раз подхватили вирус, который на

    половину экрана показывает Вам Порно-информер и просит отправить SMS с текстом

    733167 на номер 9800 то делаем следущее:

    * Сначала вводим код 06159230.

    * После этого, информер Вам сообщает, что вы должны

    подтвердить, что вам уже есть 18 лет и просит отправить ещё одно СМС.

    * Жмем «ОК» и вводим этот код 49685761.

    * После этого информер исчезает.

    1. eavasi

      @sedv, тоже очень полезная информация. Эти порно-информеры тоже очень давно досаждают людям. Многие уже просто привыкли к ним.

  5. sedv

    Если вы в очередной раз подхватили вирус, который на

    половину экрана показывает Вам Порно-информер и просит отправить SMS с текстом

    733167 на номер 9800 то делаем следущее:

    * Сначала вводим код 06159230.

    * После этого, информер Вам сообщает, что вы должны

    подтвердить, что вам уже есть 18 лет и просит отправить ещё одно СМС.

    * Жмем «ОК» и вводим этот код 49685761.

    * После этого информер исчезает.

    1. eavasi Автор записи

      @sedv, тоже очень полезная информация. Эти порно-информеры тоже очень давно досаждают людям. Многие уже просто привыкли к ним.

  6. EHELP

    Если у Вас не получается самостоятельно удалить вирус, требующий отправить СМС на короткий номер 4460, 7373, 4171, 3649, 5155, 1350, 7122, 8353 или другие

    Если на экране написано что Вы Нарушили лицензионное соглашение программы Imax Download Manager,

    Доступ в интернет заблокирован в связи с нарушением лицензионного соглашения программы eKAV Anrivirus, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro и др.

    Появился порно баннер (порнозаставка) на весь экран? Не запускается никакой антивирус, exe, bat, com файлы?

    Если у Вас не получается самостоятельно удалить вирус — обращайтесь к специалистам E-HELP.KIEV.UA

    Мы поможем Вам быстро и качественно почистить компьютер от вируса БЕЗ переустановки системы и потери данных!

    Большой опыт работы, тысячи вылеченных компьютеров

    Телефон в Киеве: 044 587 8626, icq: 482078

  7. EHELP

    Если у Вас не получается самостоятельно удалить вирус, требующий отправить СМС на короткий номер 4460, 7373, 4171, 3649, 5155, 1350, 7122, 8353 или другие

    Если на экране написано что Вы Нарушили лицензионное соглашение программы Imax Download Manager,

    Доступ в интернет заблокирован в связи с нарушением лицензионного соглашения программы eKAV Anrivirus, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro и др.

    Появился порно баннер (порнозаставка) на весь экран? Не запускается никакой антивирус, exe, bat, com файлы?

    Если у Вас не получается самостоятельно удалить вирус — обращайтесь к специалистам E-HELP.KIEV.UA

    Мы поможем Вам быстро и качественно почистить компьютер от вируса БЕЗ переустановки системы и потери данных!

    Большой опыт работы, тысячи вылеченных компьютеров

    Телефон в Киеве: 044 587 8626, icq: 482078

  8. Memorrex

    Спасибо за статью! Статья ценнейшая!

    Пришел позавчера к знакомым — а у них eKav 😯 вместо уже привычных порно-баннеров...

    Сразу загрузился со старого-доброго NHT-LiveCD — удалил несколько dll с бессмысленными названиями из C:Temp и system32 размером 124029 байт(отсортировав по времени создания) и sdra64.exe... Что примечательно — он пытался маскироваться, то есть дата его создания была где-то в середине 2004 года 🙄 Далее — RegeditPE и правка реестра в вышеуказанных ветках. Перезагрузка — антивирус и файервол запустились. Работоспособность Regedit, Taskmanager и прочих были восстановлены при помощи AVZ.

    P.S. Судя по всему, вирусяка был пойман в Одноклассниках...

    1. eavasi

      @Memorrex, прекрасно, что справились, поздравляю!!!

      99 случаев из 100, зараза приходит из Одноклассников и Контакта. Будьте осторожны, заходя на эти помойки!!!

      1. Игорь

        @eavasi, Подтверждаю. Система на домашнем ноутбуке которую я восстановил, была также заражена на одноклассниках.

        1. eavasi

          @Игорь, интересно как чувствуют себя хозяева Одноклассников и других подобных порталов, получающие с них суперприбыли, при сознании того, что с их площадок распространяются вирусы и ни с чем иным, как с базаром или помойкой эти сайты сравнить трудно ❓

          1. Игорь

            @eavasi, Думаю, прекрасно себя чувствуют. Также хочу порекомендовать сменить свои пароли с «пусиков» и «котиков», но, что-то более сложное. Я сам работаю системным администратором, и к счастью офис предприятие на котором я работаю пока держится (вирусов нет тьфу-тфьу-тфьу) и отчасти потому, что я добился запрета выхода в одноклассники и другие социальные сети из сети нашего предприятия. Рекомендую другим сисадминам поступить также.

            1. eavasi

              @Игорь, категорически поддерживаю. А если надо пообщаться с кем-то в перекур, то можно разрешить пользоваться Скайпом — самым безопасным методом передачи мгновенных сообщений. 😛

            2. Volans

              @Игорь, Вот Вы пишете что "я добился запрета выхода в одноклассники "

              Странно, но там где я работаю а именно в аграрном лицее. У нас в бухгалтерии одна дамочка заходит исключительно посмотреть прогноз погоды! А вирус су*а уже два раза вылез. Причем разный.

              Я кстати до читания этого сайта, приходилось вынимать винт и проверять на вирусы Авастом с другой машины.

              1. Игорь

                @Volans, Не поймите меня неправильно, я не имел ввиду, что если только закрыть выход на сайт «одноклассники», то вирусов не будет. Понятно, что есть прокси-сервер с фаерволом, что стоит сервер WSUS (автоматическое обновление рабочих станций), что все пользователи работают под учетной записью пользователя, а не администратора, что установлены антивирусы и прочее. Чтобы не вынимать диски, скачайте себе загрузочный WinPE, который я рекомендую. Он помогал мне уже не в одной ситуации (хотя их было и не много) восстановления системы. В моем случае (у себя на сайте я это описал), я удалил вирус без посещения сайтов.

                1. Volans

                  @Игорь, WinPE у меня лично уже пять лет!!

                  Я знаю как им пользоваться! Дело в том что на тех машинах нету CD-ROMа

                  и работоспособность в виртуальной машине антивируса ПЛОХАЯ. Просто я уже понял где в реестре убрать. Теперь проблем нету.

                  Кстати кому нужны файлы этого вируса могу прислать! Уже собрал полную коллекцию 🙂

                  Я вообще пол года как собираю разные вирусы на всяк случай 🙂

                  1. Игорь

                    @Volans, Для таких компьютеров я держу этот же WinPE на загрузочной флешке. У меня тоже на работе почти все компьютеры без CD-ROMа.

                    Не совсем понятно о каком антивирусе идет речь. Самый последний CureIT замечательно работает в WinPE.

                    1. Volans

                      @Игорь, Так понял, теперь уже и флешку для этого приходится тягать. Ладно не буду здесь дурачком. Я все понял.

                  2. Игорь

                    @Volans, Кстати, насчет файлов вируса. Если нетрудно, пришлите пожалуйста. Адрес у меня на сайте. Заранее спасибо.

                  3. eavasi

                    @Volans, я видел здесь много желающих поиметь файлы этого вируса!!! Скорее всего они напишут тебе.

  9. Memorrex

    Спасибо за статью! Статья ценнейшая!

    Пришел позавчера к знакомым — а у них eKav 😯 вместо уже привычных порно-баннеров...

    Сразу загрузился со старого-доброго NHT-LiveCD — удалил несколько dll с бессмысленными названиями из C:Temp и system32 размером 124029 байт(отсортировав по времени создания) и sdra64.exe... Что примечательно — он пытался маскироваться, то есть дата его создания была где-то в середине 2004 года 🙄 Далее — RegeditPE и правка реестра в вышеуказанных ветках. Перезагрузка — антивирус и файервол запустились. Работоспособность Regedit, Taskmanager и прочих были восстановлены при помощи AVZ.

    P.S. Судя по всему, вирусяка был пойман в Одноклассниках...

    1. eavasi

      @Memorrex, прекрасно, что справились, поздравляю!!!

      99 случаев из 100, зараза приходит из Одноклассников и Контакта. Будьте осторожны, заходя на эти помойки!!!

      1. Игорь

        @eavasi, Подтверждаю. Система на домашнем ноутбуке которую я восстановил, была также заражена на одноклассниках.

        1. eavasi

          @Игорь, интересно как чувствуют себя хозяева Одноклассников и других подобных порталов, получающие с них суперприбыли, при сознании того, что с их площадок распространяются вирусы и ни с чем иным, как с базаром или помойкой эти сайты сравнить трудно ❓

          1. Игорь

            @eavasi, Думаю, прекрасно себя чувствуют. Также хочу порекомендовать сменить свои пароли с «пусиков» и «котиков», но, что-то более сложное. Я сам работаю системным администратором, и к счастью офис предприятие на котором я работаю пока держится (вирусов нет тьфу-тфьу-тфьу) и отчасти потому, что я добился запрета выхода в одноклассники и другие социальные сети из сети нашего предприятия. Рекомендую другим сисадминам поступить также.

            1. eavasi

              @Игорь, категорически поддерживаю. А если надо пообщаться с кем-то в перекур, то можно разрешить пользоваться Скайпом — самым безопасным методом передачи мгновенных сообщений. 😛

            2. Volans

              @Игорь, Вот Вы пишете что "я добился запрета выхода в одноклассники "

              Странно, но там где я работаю а именно в аграрном лицее. У нас в бухгалтерии одна дамочка заходит исключительно посмотреть прогноз погоды! А вирус су*а уже два раза вылез. Причем разный.

              Я кстати до читания этого сайта, приходилось вынимать винт и проверять на вирусы Авастом с другой машины.

              1. Игорь

                @Volans, Не поймите меня неправильно, я не имел ввиду, что если только закрыть выход на сайт «одноклассники», то вирусов не будет. Понятно, что есть прокси-сервер с фаерволом, что стоит сервер WSUS (автоматическое обновление рабочих станций), что все пользователи работают под учетной записью пользователя, а не администратора, что установлены антивирусы и прочее. Чтобы не вынимать диски, скачайте себе загрузочный WinPE, который я рекомендую. Он помогал мне уже не в одной ситуации (хотя их было и не много) восстановления системы. В моем случае (у себя на сайте я это описал), я удалил вирус без посещения сайтов.

                1. Volans

                  @Игорь, WinPE у меня лично уже пять лет!!

                  Я знаю как им пользоваться! Дело в том что на тех машинах нету CD-ROMа

                  и работоспособность в виртуальной машине антивируса ПЛОХАЯ. Просто я уже понял где в реестре убрать. Теперь проблем нету.

                  Кстати кому нужны файлы этого вируса могу прислать! Уже собрал полную коллекцию 🙂

                  Я вообще пол года как собираю разные вирусы на всяк случай 🙂

                  1. Игорь

                    @Volans, Для таких компьютеров я держу этот же WinPE на загрузочной флешке. У меня тоже на работе почти все компьютеры без CD-ROMа.

                    Не совсем понятно о каком антивирусе идет речь. Самый последний CureIT замечательно работает в WinPE.

                    1. Volans

                      @Игорь, Так понял, теперь уже и флешку для этого приходится тягать. Ладно не буду здесь дурачком. Я все понял.

                  2. Игорь

                    @Volans, Кстати, насчет файлов вируса. Если нетрудно, пришлите пожалуйста. Адрес у меня на сайте. Заранее спасибо.

                  3. eavasi Автор записи

                    @Volans, я видел здесь много желающих поиметь файлы этого вируса!!! Скорее всего они напишут тебе.

  10. Delphine

    Один совет по разблокировке порно-информера:

    blog.bcmk.ru/myblog/vnimanie-virus-porno-informer-za-sms-733167-na-nomer-9800.html

    1. eavasi

      @Delphine, спасибо за ссылочку. Хорошо бы еще комментарий к ней. 😛

      Заходите, добро пожаловать. Очень рад.

  11. Delphine

    Один совет по разблокировке порно-информера:

    blog.bcmk.ru/myblog/vnimanie-virus-porno-informer-za-sms-733167-na-nomer-9800.html

    1. eavasi Автор записи

      @Delphine, спасибо за ссылочку. Хорошо бы еще комментарий к ней. 😛

      Заходите, добро пожаловать. Очень рад.

  12. Уведомление: Порно баннер как его убрать, разблокировать, удалить | БЕЛАЯ ШЛЯПА

  13. Сашко

    Боролся со зверем. Оказывается, можно убить все ручками, без всяких лайвсд и протчая и протчая и протчая.

    Ищем *.dll с размером 124029 байт. Они находятся в вышеуказанных temp, system32, а так же в темпе текущего пользователя C:Documents and SettingsUserLocal SettingsTemp. Удаление из system32 ни к чему не приводит, длл появляется снова. Сначала удаляются длл-ки из темпов.

    Никаких лишних .EXE я не обнаружил.

    1. Сашко

      Ах да, вру.

      Затем я использовал AVZ для разблокировок и последующей чистки реестра.

    2. eavasi

      @Сашко, проверьте, екзешники могут быть датированы и более ранней датой. Бывает всякое.

      Конечно можно обойтись и без программ, это же просто инструмент. )

      Спасибо за ваш комментарий. Заходите.

  14. Сашко

    Боролся со зверем. Оказывается, можно убить все ручками, без всяких лайвсд и протчая и протчая и протчая.

    Ищем *.dll с размером 124029 байт. Они находятся в вышеуказанных temp, system32, а так же в темпе текущего пользователя C:Documents and SettingsUserLocal SettingsTemp. Удаление из system32 ни к чему не приводит, длл появляется снова. Сначала удаляются длл-ки из темпов.

    Никаких лишних .EXE я не обнаружил.

    1. Сашко

      Ах да, вру.

      Затем я использовал AVZ для разблокировок и последующей чистки реестра.

    2. eavasi Автор записи

      @Сашко, проверьте, екзешники могут быть датированы и более ранней датой. Бывает всякое.

      Конечно можно обойтись и без программ, это же просто инструмент. )

      Спасибо за ваш комментарий. Заходите.

  15. ALX

    Спасибо огромное за информацию! Теперь буду во всеоружии:) У меня был интернет секьюрити. dll были другим размером, 129536 байт, причем размер соотв. двум библиотекам из винды: xmlprov.dll и msv1_0.dll. после ввода кода вирус сам удалился и разблокировал запуск программ, regedit, gpedit и пр... после этого только подчистил ддл-ки.

  16. ALX

    Спасибо огромное за информацию! Теперь буду во всеоружии:) У меня был интернет секьюрити. dll были другим размером, 129536 байт, причем размер соотв. двум библиотекам из винды: xmlprov.dll и msv1_0.dll. после ввода кода вирус сам удалился и разблокировал запуск программ, regedit, gpedit и пр... после этого только подчистил ддл-ки.

    1. eavasi Автор записи

      @ALX, прекрасно, что помогло. Спасибо, что написали об этом, нам это очень важно!

  17. Юрий

    Когда я ввел ключик то он деактивировался, но буквально через несколько часов он снова появился , после повторного ввода и чистки по методу указаному выше все стало на свои места.

  18. Юрий

    Когда я ввел ключик то он деактивировался, но буквально через несколько часов он снова появился , после повторного ввода и чистки по методу указаному выше все стало на свои места.

  19. Игорь

    Хочу еще добавить, что когда будете руками удалять значение из параметра userinit ветки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, удаляйте только запись о вирусе! Например, C:Windowssystem32sdra64.exe

    Запись C:WINDOWSsystem32userinit.exe, должна остаться. У меня сегодня было обращение когда человек удалил все данные этого ключа, в этом случае невозможно зайти в систему и необходимо восстанавливать реестр.

    Также рекомендую скачать себе и записать загрузочный диск WinPE — depositfiles.com/files/8b4ngguwq Я пользуюсь этим диском уже 4 года работая системным администратором и он нередко и в ситуации с вирусом также выручал меня. Также здесь depositfiles.com/files/zsdy7ui2w я выложил маленький видеоролик как я с помощью этого диска и CureIT избавился от вируса. В ролике начальный этап достаточный для загрузки Windows в обычном режиме. Далее пришлось еще немного руками почистить. Но составить представление о диске WinPE можно. Спасибо.

      1. Игорь

        @Александр Кривой, Для меня это был и пока есть стандартный путь для борьбы с любыми вирусами. Когда занимались техническим обеспечением районных судов Харьковской области почистил таким образом не один десяток компьютеров 🙂 Вообще в арсенале держу, кроме WinPE и CureIT, еще AVZ и Hirens BootCD. Есть и другие утилиты, но эти всегда под рукой. Причем WinPE на флешке, у которой есть защита от записи. Там же на флешке и CureIT с AVZ. Забавно было наблюдать когда вставляешь такую флешку в компьютер с вирусом autorun и он не может создать там файлы и тут же проявляет себя кучей ошибок записи 🙂

  20. Игорь

    Хочу еще добавить, что когда будете руками удалять значение из параметра userinit ветки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, удаляйте только запись о вирусе! Например, C:Windowssystem32sdra64.exe

    Запись C:WINDOWSsystem32userinit.exe, должна остаться. У меня сегодня было обращение когда человек удалил все данные этого ключа, в этом случае невозможно зайти в систему и необходимо восстанавливать реестр.

    Также рекомендую скачать себе и записать загрузочный диск WinPE — depositfiles.com/files/8b4ngguwq Я пользуюсь этим диском уже 4 года работая системным администратором и он нередко и в ситуации с вирусом также выручал меня. Также здесь depositfiles.com/files/zsdy7ui2w я выложил маленький видеоролик как я с помощью этого диска и CureIT избавился от вируса. В ролике начальный этап достаточный для загрузки Windows в обычном режиме. Далее пришлось еще немного руками почистить. Но составить представление о диске WinPE можно. Спасибо.

      1. Игорь

        @Александр Кривой, Для меня это был и пока есть стандартный путь для борьбы с любыми вирусами. Когда занимались техническим обеспечением районных судов Харьковской области почистил таким образом не один десяток компьютеров 🙂 Вообще в арсенале держу, кроме WinPE и CureIT, еще AVZ и Hirens BootCD. Есть и другие утилиты, но эти всегда под рукой. Причем WinPE на флешке, у которой есть защита от записи. Там же на флешке и CureIT с AVZ. Забавно было наблюдать когда вставляешь такую флешку в компьютер с вирусом autorun и он не может создать там файлы и тут же проявляет себя кучей ошибок записи 🙂

  21. Игорь

    Если позволите еще хочу добавить список файлов, которые были на ноутбуке, который я восстановил и которые были определены как обсуждаемый здесь вирус:

    ckbnad.dll — C:documents and settingsuserprofileLocal SettingsTemp

    fuighf.dll — C:documents and settingsuserprofileLocal SettingsTemp

    olmueh.dll — C:documents and settingsuserprofileLocal SettingsTemp

    pnaynv.dll — C:documents and settingsuserprofileLocal SettingsTemp

    xaxyeg.dll — C:documents and settingsuserprofileLocal SettingsTemp

    password.chm:QYMX8hknYYg9KMcgNR2 — C:WindowsHelp

    nyyvepuid.dll — C:WindowsSystem32

    sdra64.exe — C:WindowsSystem32

    iuzyrt.dll — C:WindowsTemp

    ulbagz.dll — C:WindowsTemp

    Под userprofile следует понимать имя профиля под которым произошло заражение.

    1. eavasi

      @Игорь, вы делитесь просто бесценной информацией, которая может быть полезной для тысяч и тысяч приходящих сюда людей!!!

      Огромная Вам благодарность от лица их всех, ну и моего, разумеется, тоже. 😀

      1. Игорь

        @eavasi, Всегда пожалуйста.

        Тут еще хочу отметить, что файл password.chm:QYMX8hknYYg9KMcgNR2 как раз и есть тот файл (технология NTFS streams) который был указан в AppInit_DLLs. Только в моем случае он находился не в c:windowssystem32, а в C:WindowsHelp

  22. Игорь

    Если позволите еще хочу добавить список файлов, которые были на ноутбуке, который я восстановил и которые были определены как обсуждаемый здесь вирус:

    ckbnad.dll — C:documents and settingsuserprofileLocal SettingsTemp

    fuighf.dll — C:documents and settingsuserprofileLocal SettingsTemp

    olmueh.dll — C:documents and settingsuserprofileLocal SettingsTemp

    pnaynv.dll — C:documents and settingsuserprofileLocal SettingsTemp

    xaxyeg.dll — C:documents and settingsuserprofileLocal SettingsTemp

    password.chm:QYMX8hknYYg9KMcgNR2 — C:WindowsHelp

    nyyvepuid.dll — C:WindowsSystem32

    sdra64.exe — C:WindowsSystem32

    iuzyrt.dll — C:WindowsTemp

    ulbagz.dll — C:WindowsTemp

    Под userprofile следует понимать имя профиля под которым произошло заражение.

    1. eavasi

      @Игорь, вы делитесь просто бесценной информацией, которая может быть полезной для тысяч и тысяч приходящих сюда людей!!!

      Огромная Вам благодарность от лица их всех, ну и моего, разумеется, тоже. 😀

      1. Игорь

        @eavasi, Всегда пожалуйста.

        Тут еще хочу отметить, что файл password.chm:QYMX8hknYYg9KMcgNR2 как раз и есть тот файл (технология NTFS streams) который был указан в AppInit_DLLs. Только в моем случае он находился не в c:windowssystem32, а в C:WindowsHelp

  23. Volans

    Статья заслуживает ВНИМАНИЯ. СПАСИБО!

    А вот мне как системному админу хотелось в домашних условиях по практиковаться с данным вирусом.

    Так может ли кто мне его прислать?

    Skaynet-x@meta.ua желательно в архиве с паролем типа «123».

    Буду очень благодарен 🙂

    1. eavasi

      @Volans, спасибо за похвалу.

      Даже и не знаю чем Вам помочь и где взять его, этот вирус. Ума не приложу, к кому можно обратиться.

      Извините и еще раз спасибо. Заходите.

    2. Volans

      @Volans, Ничего страшного уже нашел всю коллекцию этого вируса. только не пойму ка его запустить ?)

      По желанию могу прислать в архиве...

      1. eavasi

        @Volans, может опубликуешь свой е-маил, а заинтересованные будут к тебе обращаться лично. Ссылки на подобного рода файлы публиковать неэтично и, мне кажется, опасно. 😛

  24. Volans

    Статья заслуживает ВНИМАНИЯ. СПАСИБО!

    А вот мне как системному админу хотелось в домашних условиях по практиковаться с данным вирусом.

    Так может ли кто мне его прислать?

    Skaynet-x@meta.ua желательно в архиве с паролем типа «123».

    Буду очень благодарен 🙂

    1. eavasi

      @Volans, спасибо за похвалу.

      Даже и не знаю чем Вам помочь и где взять его, этот вирус. Ума не приложу, к кому можно обратиться.

      Извините и еще раз спасибо. Заходите.

    2. Volans

      @Volans, Ничего страшного уже нашел всю коллекцию этого вируса. только не пойму ка его запустить ?)

      По желанию могу прислать в архиве...

      1. eavasi Автор записи

        @Volans, может опубликуешь свой е-маил, а заинтересованные будут к тебе обращаться лично. Ссылки на подобного рода файлы публиковать неэтично и, мне кажется, опасно. 😛

  25. Уведомление: Программы-вымогатели. Классификация. Способы лечения. | БЕЛАЯ ШЛЯПА

  26. Игорь

    Вчера создал видео инструкция как записать диск WinPE на flash-накопитель (флешку), чтобы она стала загрузочной. Пригодится в случае отсутствия CD-привода (например на офисных компьютерах или нетбуках). Постарался сделать максимально понятно, чтобы разобрался даже начинающий пользователь. Если не возражаете вот ссылка igorka.com.ua/2010/01/20/...na-osnove-winpe/

    Если будут вопросы — задавайте, обязательно отвечу.

    1. eavasi

      @Игорь, может включить видео в какую-то статью? Если ты не против, скажи в какую и с какой ссылкой и я включу, а то в комментариях затеряется и утратит полезные свойства.

      1. Игорь

        @eavasi, Я не против. ссылка на само видео вот depositfiles.com/ru/files/ccmydntwv

        А где ее лучше разместить и в какой статье решать вам.

        Кстати смотрели ли вы видео? Достаточно ли там понятно показано? Старался чтобы было максимально понятно, хочется узнать получилось или не очень 🙂

        1. eavasi

          @Игорь, почему-то не могу скачать, хотя раньше с депозитом никаких проблем не было и всегда относился к нему уважительно, можно ли перезалить на какой-то другой ф/обменник? Спасибо.

  27. Игорь

    Вчера создал видео инструкция как записать диск WinPE на flash-накопитель (флешку), чтобы она стала загрузочной. Пригодится в случае отсутствия CD-привода (например на офисных компьютерах или нетбуках). Постарался сделать максимально понятно, чтобы разобрался даже начинающий пользователь. Если не возражаете вот ссылка igorka.com.ua/2010/01/20/...na-osnove-winpe/

    Если будут вопросы — задавайте, обязательно отвечу.

    1. eavasi Автор записи

      @Игорь, может включить видео в какую-то статью? Если ты не против, скажи в какую и с какой ссылкой и я включу, а то в комментариях затеряется и утратит полезные свойства.

      1. Игорь

        @eavasi, Я не против. ссылка на само видео вот depositfiles.com/ru/files/ccmydntwv

        А где ее лучше разместить и в какой статье решать вам.

        Кстати смотрели ли вы видео? Достаточно ли там понятно показано? Старался чтобы было максимально понятно, хочется узнать получилось или не очень 🙂

        1. eavasi Автор записи

          @Игорь, почему-то не могу скачать, хотя раньше с депозитом никаких проблем не было и всегда относился к нему уважительно, можно ли перезалить на какой-то другой ф/обменник? Спасибо.

  28. IZELBOR

    Я пытался делать как тут описано, но не могу попасть в реестр......с 17го числа бьюсь...чисто из принципа...но терпение уже на исходе.

    1. eavasi

      @IZELBOR, напишите пошагово ваши действия. Очень вероятно, что всем миром мы найдем неточность или проблему, мешающую очистить ПК.

  29. IZELBOR

    Я пытался делать как тут описано, но не могу попасть в реестр......с 17го числа бьюсь...чисто из принципа...но терпение уже на исходе.

    1. eavasi

      @IZELBOR, напишите пошагово ваши действия. Очень вероятно, что всем миром мы найдем неточность или проблему, мешающую очистить ПК.

  30. Octopus

    Действительно, первый способ у меня сработал. До этого долго танцевал с бубном, ничего не помогало. Быстрее выло просто переставиться, но дело принципа — добить заразу! Благодаря вам добил 🙂

    1. eavasi

      @Octopus, а я вот по неопытности месяц назад недолго думая взял и форматнулся. Спасибо, что отписались. Заходите.

  31. Octopus

    Действительно, первый способ у меня сработал. До этого долго танцевал с бубном, ничего не помогало. Быстрее выло просто переставиться, но дело принципа — добить заразу! Благодаря вам добил 🙂

    1. eavasi Автор записи

      @Octopus, а я вот по неопытности месяц назад недолго думая взял и форматнулся. Спасибо, что отписались. Заходите.

  32. Toxa

    Спасибо вам охренительное, только ваша статья мне помогла. Но у меня есть дополнение по Internet Security. После благополучного удаления этого вируса я обнаружил, что мой процессор сильно грузится. А именно грузит его процесс svchost.exe. Как вы понимаете этот процесс использовуют многие сервисы Windows. Я порылся в Интернете и обнаружил, что это возможно вирус. Действительно до заражения у меня все было нормально, а после стал грузится процессор на 50%. Самое главное что ни CureIt, ни AVZ4 ничего не обнаружили на компе. Я полез в автозагрузку через msconfig и обнаружил подозрительный файл syszyd32.exe. Погуглил и выяснил, что это загрузчик вредоносного кода на комп. Т.е. даже после очищения компа он заново скачивает вирус. Нашел я этот файл и удалил к чертям. Перезагрука, вуаля, все хорошо.

  33. Toxa

    Спасибо вам охренительное, только ваша статья мне помогла. Но у меня есть дополнение по Internet Security. После благополучного удаления этого вируса я обнаружил, что мой процессор сильно грузится. А именно грузит его процесс svchost.exe. Как вы понимаете этот процесс использовуют многие сервисы Windows. Я порылся в Интернете и обнаружил, что это возможно вирус. Действительно до заражения у меня все было нормально, а после стал грузится процессор на 50%. Самое главное что ни CureIt, ни AVZ4 ничего не обнаружили на компе. Я полез в автозагрузку через msconfig и обнаружил подозрительный файл syszyd32.exe. Погуглил и выяснил, что это загрузчик вредоносного кода на комп. Т.е. даже после очищения компа он заново скачивает вирус. Нашел я этот файл и удалил к чертям. Перезагрука, вуаля, все хорошо.

    1. eavasi Автор записи

      @Toxa, опс, вот это даа. Ценнейшая инфа! Спасибо огромное. Молодец, что написал об этом.!!!

  34. IZELBOR

    Хотелось бы знать путь к этому вредоносному файлу...syszyd32.exe, где его искать...?

    Далее хотелось бы спросить на счёт установочного диска WinPE- я пытался сделать загрузочную флэшку как тут было показано на видео, но загрузка с флешки не проходит, попытался сделать загрузочный диск, но с него тоже не грузится, только когда входишь в виндоус и шёлкаешь по значку привода в котором диск появляется жёлтый квадратик в левом нижнем углу. В таком режиме я почистил всё как было показано в ролике, но когда дошёл до реестра он просто отказался открываться. После многократных прогонов докторвебом из под винды установленной на другой диск реестр стал открываться но когда пытаешся открыть какой либо раздел реестра то вылезает ошибка где написоно что отсутствует реестр или что-то вроди этого...

    Может есть какие-то альтернативные способы попасть в реестр?

    1. Octopus

      @IZELBOR, существует ERD Commander, загрузочный дис или флешка. Собственно, указанный в решении №1 Alkid SE как раз его и содержит в качестве инструмента для доступа к реестру без загрузки зараженной Винды. Также ERD Commander существует в виде отдельного образа, найти в сети большой проблемы не составляет

    2. Toxa

      @IZELBOR, У меня syszyd32.exe оказался как ни странно в папке C:/Documents and Settings/Папка_пользователя/Главное меню/Программы/Автозагрузка. Естественно файл был скрытым.

      1. eavasi

        @Toxa, похоже, что вирусопроизводители не стоят на месте и постоянно меняют алгоритмы работы программ вымогателей. (((

  35. IZELBOR

    Хотелось бы знать путь к этому вредоносному файлу...syszyd32.exe, где его искать...?

    Далее хотелось бы спросить на счёт установочного диска WinPE- я пытался сделать загрузочную флэшку как тут было показано на видео, но загрузка с флешки не проходит, попытался сделать загрузочный диск, но с него тоже не грузится, только когда входишь в виндоус и шёлкаешь по значку привода в котором диск появляется жёлтый квадратик в левом нижнем углу. В таком режиме я почистил всё как было показано в ролике, но когда дошёл до реестра он просто отказался открываться. После многократных прогонов докторвебом из под винды установленной на другой диск реестр стал открываться но когда пытаешся открыть какой либо раздел реестра то вылезает ошибка где написоно что отсутствует реестр или что-то вроди этого...

    Может есть какие-то альтернативные способы попасть в реестр?

    1. Octopus

      @IZELBOR, существует ERD Commander, загрузочный дис или флешка. Собственно, указанный в решении №1 Alkid SE как раз его и содержит в качестве инструмента для доступа к реестру без загрузки зараженной Винды. Также ERD Commander существует в виде отдельного образа, найти в сети большой проблемы не составляет

    2. Toxa

      @IZELBOR, У меня syszyd32.exe оказался как ни странно в папке C:/Documents and Settings/Папка_пользователя/Главное меню/Программы/Автозагрузка. Естественно файл был скрытым.

      1. eavasi Автор записи

        @Toxa, похоже, что вирусопроизводители не стоят на месте и постоянно меняют алгоритмы работы программ вымогателей. (((

  36. IZELBOR

    Опа...два раза ошибся...)))... :mrgreen: выпадала ошибка неверный дескриптор.Затем когда в следующий раз вошёёл в систему то смог открыть реестр непосредственно кликая по файлу regedit.exe, хотя раньше он никак не реагировал.Реестр открывается, и указанные в видеоролике параметры которые необходимо удалить я нашёл, но встала новая проблема...при попытке изменить параметр выпадает ошибка- не удаётся изменить AppInit_DLLS Ошибка при записи нового параметра.

    Порывшись в инете я нашёл такой совет:

    У вас каким-то макаром прописан параметр в том же реестре запрещающий его редактирование.

    Можете воспользоваться программами типа regworks (гугл вам в помощь) и через них в реестре в ветке HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

    удалить параметр DisableRegistryTools

    DisableRegistryTools у меня был скрыт и я его нашёл через поиск...но изменить его тоже не смог, кстати удалось сделать фотографию реестра, может её залить на файлообменник чтоб сведующие люди поглядели...?

  37. IZELBOR

    Опа...два раза ошибся...)))... :mrgreen: выпадала ошибка неверный дескриптор.Затем когда в следующий раз вошёёл в систему то смог открыть реестр непосредственно кликая по файлу regedit.exe, хотя раньше он никак не реагировал.Реестр открывается, и указанные в видеоролике параметры которые необходимо удалить я нашёл, но встала новая проблема...при попытке изменить параметр выпадает ошибка- не удаётся изменить AppInit_DLLS Ошибка при записи нового параметра.

    Порывшись в инете я нашёл такой совет:

    У вас каким-то макаром прописан параметр в том же реестре запрещающий его редактирование.

    Можете воспользоваться программами типа regworks (гугл вам в помощь) и через них в реестре в ветке HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

    удалить параметр DisableRegistryTools

    DisableRegistryTools у меня был скрыт и я его нашёл через поиск...но изменить его тоже не смог, кстати удалось сделать фотографию реестра, может её залить на файлообменник чтоб сведующие люди поглядели...?

  38. IZELBOR

    Да, чуть не забыл- при входе в систему выпадает любопытная ошибка- Ошибка при запуске nldk.yxo Не найден указанный модуль.

  39. IZELBOR

    Да, чуть не забыл- при входе в систему выпадает любопытная ошибка- Ошибка при запуске nldk.yxo Не найден указанный модуль.

  40. IZELBOR

    В первом случае у вас написано:

    В разделе KEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiersPaths были вычищены все подразделы с каталогами, запрещенными при проникновении вируса.

    Хотелось бы подробнее- какие значения и в каких подразделах.Просто значения убрать или изменить на какие то конкретные...?

    Ну и самый главный вопрос- как мне вернуть администрирование на своём компе- вроде программы все запускаются, но новые установить нельзя, и учётную запись изменить нельзя, реестр редактируется только из под Alkid SE и по прежнем не работает Regedit. При запуске по прежнему выпадает ошибка говорящая об отсутствии модуля nldk.yxo

    и RivaTuner не запускается.

  41. IZELBOR

    В первом случае у вас написано:

    В разделе KEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiersPaths были вычищены все подразделы с каталогами, запрещенными при проникновении вируса.

    Хотелось бы подробнее- какие значения и в каких подразделах.Просто значения убрать или изменить на какие то конкретные...?

    Ну и самый главный вопрос- как мне вернуть администрирование на своём компе- вроде программы все запускаются, но новые установить нельзя, и учётную запись изменить нельзя, реестр редактируется только из под Alkid SE и по прежнем не работает Regedit. При запуске по прежнему выпадает ошибка говорящая об отсутствии модуля nldk.yxo

    и RivaTuner не запускается.

  42. IZELBOR

    Удалось разблокировать реестр изменив параметр DisableRegistryTools на 0 так же

    по совету сбросил и DisableTaskMgr.

    После перезагрузки реестр стал открываться на сбойной винде при непосредственном клике мышью на файл regedit.exe в папке биуса и стало возможно вносить в него изменения.

    Может быть как-то возможно через реестр вернуть себе админскую запись и предыдущие настройки винды...?

  43. IZELBOR

    Удалось разблокировать реестр изменив параметр DisableRegistryTools на 0 так же

    по совету сбросил и DisableTaskMgr.

    После перезагрузки реестр стал открываться на сбойной винде при непосредственном клике мышью на файл regedit.exe в папке биуса и стало возможно вносить в него изменения.

    Может быть как-то возможно через реестр вернуть себе админскую запись и предыдущие настройки винды...?

  44. IZELBOR

    Удалось разблокировать реестр изменив параметр DisableRegistryTools на 0 так же

    по совету сбросил и DisableTaskMgr.

    После перезагрузки реестр стал открываться на сбойной винде при непосредственном клике мышью на файл regedit.exe в папке виндуса и стало возможно вносить в него изменения.

    Может быть как-то возможно через реестр вернуть себе админскую запись и предыдущие настройки винды...?

    1. eavasi

      @IZELBOR, вам надо завести новую учетную запись с полными правами.

      Поздравляю, что удача начала преследовать вас. 😆

  45. IZELBOR

    Удалось разблокировать реестр изменив параметр DisableRegistryTools на 0 так же

    по совету сбросил и DisableTaskMgr.

    После перезагрузки реестр стал открываться на сбойной винде при непосредственном клике мышью на файл regedit.exe в папке виндуса и стало возможно вносить в него изменения.

    Может быть как-то возможно через реестр вернуть себе админскую запись и предыдущие настройки винды...?

    1. eavasi Автор записи

      @IZELBOR, вам надо завести новую учетную запись с полными правами.

      Поздравляю, что удача начала преследовать вас. 😆

  46. Serenia

    Эта хр.ь эволюционирует. Сегодня поймал самую свежую версию trojan-ransom.win32.pinkblocker.jf. Те же симптомы (окно на полэкрана, просит sms и др.).

    Убиваю руками: ищу свежие dll и скармливаю online-антивирусу. Касперский с новейшими базами эти файлы ловит.

    Также можно искать файлы по размеру: 131072 байта

    Еще был найде файл noise.deu

    Все действия делались из параллельно установленной винды, т.к. в этой все учетные записи с обрезанными правами.

    1. eavasi

      @Serenia, спасибо, что сообщил о своей беде. Желаю удачи, уверен, все получится. Хорошо, что была вторая Винда.

  47. Serenia

    Эта хр.ь эволюционирует. Сегодня поймал самую свежую версию trojan-ransom.win32.pinkblocker.jf. Те же симптомы (окно на полэкрана, просит sms и др.).

    Убиваю руками: ищу свежие dll и скармливаю online-антивирусу. Касперский с новейшими базами эти файлы ловит.

    Также можно искать файлы по размеру: 131072 байта

    Еще был найде файл noise.deu

    Все действия делались из параллельно установленной винды, т.к. в этой все учетные записи с обрезанными правами.

    1. eavasi

      @Serenia, спасибо, что сообщил о своей беде. Желаю удачи, уверен, все получится. Хорошо, что была вторая Винда.

  48. Саня

    поймал интернет сикюрити, долго ломал голову пока на работе не нашёл этот сайт, БОЛЬШОЕ СПАСИБО!! кстати, установил щас Dr.Web, последнее обновление 25 числа, он траяны токого типа как орешки щёлкает...

    1. eavasi

      @Саня, классно, что все удалось.

      Надо подумать о переходе на Др. Веба, у меня как раз сейчас это актуальный вопрос.

      Спасибо, что отписался.

  49. Саня

    поймал интернет сикюрити, долго ломал голову пока на работе не нашёл этот сайт, БОЛЬШОЕ СПАСИБО!! кстати, установил щас Dr.Web, последнее обновление 25 числа, он траяны токого типа как орешки щёлкает...

    1. eavasi

      @Саня, классно, что все удалось.

      Надо подумать о переходе на Др. Веба, у меня как раз сейчас это актуальный вопрос.

      Спасибо, что отписался.

  50. Дмитрий

    Здравствуйте, Евгений. Много раз сталкивался с этим подлым вирусом, читал много рекомендаций, но в этой статье приведена наиболее достоверная информация из 3 способов, только благодаря которой я смог избавить от этой заразы очень много компьютеров. Весьма и весьма Вам признателен. Особая благодарность Wladimir Mutel .

    1. eavasi

      Дмитрий, Отлично, что помогло. Всегда приятно, что плоды твоего труда полезна людям Спасибо, что написали об этом. Приходите еще много раз.

  51. Дмитрий

    Здравствуйте, Евгений. Много раз сталкивался с этим подлым вирусом, читал много рекомендаций, но в этой статье приведена наиболее достоверная информация из 3 способов, только благодаря которой я смог избавить от этой заразы очень много компьютеров. Весьма и весьма Вам признателен. Особая благодарность Wladimir Mutel .

    1. eavasi Автор записи

      Дмитрий, Отлично, что помогло. Всегда приятно, что плоды твоего труда полезна людям Спасибо, что написали об этом. Приходите еще много раз.

  52. eavasi

    @Дмитрий, Отлично, что помогло. Всегда приятно, что плоды твоего труда полезна людям

    Спасибо, что написали об этом. Приходите еще много раз.

  53. eavasi Автор записи

    @Дмитрий, Отлично, что помогло. Всегда приятно, что плоды твоего труда полезна людям

    Спасибо, что написали об этом. Приходите еще много раз.

  54. eavasi

    Дмитрий, Отлично, что помогло. Всегда приятно, что плоды твоего труда полезна людям

    Спасибо, что написали об этом. Приходите еще много раз.

  55. eavasi Автор записи

    Дмитрий, Отлично, что помогло. Всегда приятно, что плоды твоего труда полезна людям

    Спасибо, что написали об этом. Приходите еще много раз.

  56. vovchek

    Зачастую, когда манипуляции с реестром не помогают разблокировать его, диспетчер задач,восстановление и т.д. получается через политики — запретил, разрешил и нормально. Не все машины грузятся с флешки. сам ношу с собой штук 5 разных PE, ERD, infru, 2 спасательных диска от каспера. Под линух и бартре+свежие базы. Флешку с защитой от записи найти трудно, пользую SD. autoruns от Руссиновича и Anvir Task Manager — обязательные инструменты. AVZ через его guard и сервис можно очень многое, если запустится

    1. eavasi

      На Вашем примере можно учится. Такой набор инструментов должен быть у каждого, кто хоть немного заботится о здоровье своей машины и сохранности данных.

      Спасибо.

  57. vovchek

    Зачастую, когда манипуляции с реестром не помогают разблокировать его, диспетчер задач,восстановление и т.д. получается через политики — запретил, разрешил и нормально. Не все машины грузятся с флешки. сам ношу с собой штук 5 разных PE, ERD, infru, 2 спасательных диска от каспера. Под линух и бартре+свежие базы. Флешку с защитой от записи найти трудно, пользую SD. autoruns от Руссиновича и Anvir Task Manager — обязательные инструменты. AVZ через его guard и сервис можно очень многое, если запустится

    1. eavasi Автор записи

      На Вашем примере можно учится. Такой набор инструментов должен быть у каждого, кто хоть немного заботится о здоровье своей машины и сохранности данных.

      Спасибо.

  58. Ольга

    Помогите пожалуйста нужен код от номера 3649 с текстом 2196 450 (пробел обязателен) 🙁

    ни чего не могу найти!

  59. Ольга

    Помогите пожалуйста нужен код от номера 3649 с текстом 2196 450 (пробел обязателен) 🙁

    ни чего не могу найти!

  60. IngArt

    Обычно простых пользователей слово реестр приводит в шок, лично я просто в безопасном режиме проверял все и соответственно удалял CureIT'ом — и всегда помогало

    1. eavasi

      @IngArt, ну и к реестру и к чему-то более сложному можно при желании привыкнуть, не испытывая шока. А программы, типа той что Вы пользовались и призваны делать то же самое, никого не шокируя.

  61. IngArt

    Обычно простых пользователей слово реестр приводит в шок, лично я просто в безопасном режиме проверял все и соответственно удалял CureIT'ом — и всегда помогало

    1. eavasi Автор записи

      @IngArt, ну и к реестру и к чему-то более сложному можно при желании привыкнуть, не испытывая шока. А программы, типа той что Вы пользовались и призваны делать то же самое, никого не шокируя.

  62. AUDIN

    Всем привет... По поводу учёток. Кто то тут спрашивал по поводу разблокировки учёток. Мобыть поможет. Мне помогало.

    1 Находим файл sam (без расширения) он находится C:WINDOWSsystem32config и копируем его на любой носитель. (тут есть трудности, просто так его не скопировать, нужно загрузиться с загрузочного диска или дискеты.

    2 Идем на другой комп, где мы имеем права администратора

    3 Запускаете «regedit.exe» пуск->выполнить->regedit.exe, устанавливаете курсор на HKEY_LOCAL_MACHINE. Если установить на другой ключ, не будет

    доступно «загрузить куст»

    4 файл->загрузить куст и указываем путь к файлу sam? появится окно с предложением ввести имя загружаемому кусту, назовем его 123456

    5 Теперь станет доступна ветка HKEY_LOCAL_MACHINE123456SAM, но по умолчанию нам не хватает прав для редактирования/просмотра.

    6 Добавим себе прав. Для это становимся на HKEY_LOCAL_MACHINE123456SAM, по правому клику выбираем «разрешения...» кликаем по «администратор» и ставим обе галочки полный доступ и чтение. Соглашаемся, закрываем regedit.exe и запускаем его снова. Теперь нам доступен весь загруженный ранее куст.

    7 Находим ключ HKEY_LOCAL_MACHINE123456SAMDomainsAccountUsers00001F4 - это встроенный администратор, 0038 меняем значение с 0×11 (0×15) на 0×10 (0×14) 0×11 или 0×15

    — значит пользователь деактивирован, 10 или 14 — активирован.

    После чего, нужно подменить старый файл sam на новый.

    По теме: можете добавить с списочек

    plugin.exe- тож порнобаннер... Находил в Program Files

    1. eavasi

      @AUDIN, о прекрасно, что Вы это написали. Спасибо.

      Поясню для читателей, что «УЧЕТКА» — это учетная запись пользователя в Windows

  63. AUDIN

    Всем привет... По поводу учёток. Кто то тут спрашивал по поводу разблокировки учёток. Мобыть поможет. Мне помогало.

    1 Находим файл sam (без расширения) он находится C:WINDOWSsystem32config и копируем его на любой носитель. (тут есть трудности, просто так его не скопировать, нужно загрузиться с загрузочного диска или дискеты.

    2 Идем на другой комп, где мы имеем права администратора

    3 Запускаете «regedit.exe» пуск->выполнить->regedit.exe, устанавливаете курсор на HKEY_LOCAL_MACHINE. Если установить на другой ключ, не будет

    доступно «загрузить куст»

    4 файл->загрузить куст и указываем путь к файлу sam? появится окно с предложением ввести имя загружаемому кусту, назовем его 123456

    5 Теперь станет доступна ветка HKEY_LOCAL_MACHINE123456SAM, но по умолчанию нам не хватает прав для редактирования/просмотра.

    6 Добавим себе прав. Для это становимся на HKEY_LOCAL_MACHINE123456SAM, по правому клику выбираем «разрешения...» кликаем по «администратор» и ставим обе галочки полный доступ и чтение. Соглашаемся, закрываем regedit.exe и запускаем его снова. Теперь нам доступен весь загруженный ранее куст.

    7 Находим ключ HKEY_LOCAL_MACHINE123456SAMDomainsAccountUsers00001F4 - это встроенный администратор, 0038 меняем значение с 0×11 (0×15) на 0×10 (0×14) 0×11 или 0×15

    — значит пользователь деактивирован, 10 или 14 — активирован.

    После чего, нужно подменить старый файл sam на новый.

    По теме: можете добавить с списочек

    plugin.exe- тож порнобаннер... Находил в Program Files

    1. eavasi Автор записи

      @AUDIN, о прекрасно, что Вы это написали. Спасибо.

      Поясню для читателей, что «УЧЕТКА» — это учетная запись пользователя в Windows

  64. AUDIN

    Ещё раз добрый день. Сёдня подвёргся жёсткой атаке sms- вымогателей... На весь экран вышел баннер чёрный с призывом отправить sms на номер 5121 код 7488032, таймер отсчитывал 2 минуты и типа, смена кода вируса и пугалка о якобы невозможности переустановки системы всвязи с блокировкой загрузочного сектора... диска)...Что имеем:

    3 типа файлов... md.exe (у меня он блокировал диспетчер задач), второй- userlib.dll Проживает в папке AdminCookies, при чём блокирует доступ к ней. В system32 лежал третий файлик- user32.exe весом 76 кб.

    С LiveCD легко убивается... Я убил с параллельно установленной винды, задав поиске название файлов.

    Далее восстанавливаем рабочий стол, загрузившись с безопасного режима с поддержкой командной строки. Далее набираем regedit, жмём Enter и ищем ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. В ней исправляем REG_SZ- параметр Shell на Explorer.exe (там стоял путь к файлу вируса user32.exe).

    Далее перезагружаемся и с помощью avz восстанавливаем диспетчер задач и чистим ею систему.

    1. eavasi

      @AUDIN, вот это даа, я думал эта волна уже спадать начала, а они только модифицируются.

      Спасибо за то, что рассказали о проблеме и решении.

      1. AUDIN

        @eavasi, да, к сожалению как вирус гриппа мутируют:-))

        При чём одновременно блокируются и диспетчер задач и рабочий стол. Так что популярные рекомендации на сайтах антивирусников не прокатывают... Была уже идея форматнуть весь винт...Ребятки знакомые говорили, что за одно SMS до 1500 рублей снимают и нет гарантии, что код придёт.

        1. eavasi

          @AUDIN, разумеется, что отсылать СМС — это не выход. Более того, это просто неразумный шаг. Необходимо бороться с баннером всеми имеющимися силами, используя все средства, описанные на этом и других сайтах.

  65. AUDIN

    Ещё раз добрый день. Сёдня подвёргся жёсткой атаке sms- вымогателей... На весь экран вышел баннер чёрный с призывом отправить sms на номер 5121 код 7488032, таймер отсчитывал 2 минуты и типа, смена кода вируса и пугалка о якобы невозможности переустановки системы всвязи с блокировкой загрузочного сектора... диска)...Что имеем:

    3 типа файлов... md.exe (у меня он блокировал диспетчер задач), второй- userlib.dll Проживает в папке AdminCookies, при чём блокирует доступ к ней. В system32 лежал третий файлик- user32.exe весом 76 кб.

    С LiveCD легко убивается... Я убил с параллельно установленной винды, задав поиске название файлов.

    Далее восстанавливаем рабочий стол, загрузившись с безопасного режима с поддержкой командной строки. Далее набираем regedit, жмём Enter и ищем ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. В ней исправляем REG_SZ- параметр Shell на Explorer.exe (там стоял путь к файлу вируса user32.exe).

    Далее перезагружаемся и с помощью avz восстанавливаем диспетчер задач и чистим ею систему.

    1. eavasi Автор записи

      @AUDIN, вот это даа, я думал эта волна уже спадать начала, а они только модифицируются.

      Спасибо за то, что рассказали о проблеме и решении.

      1. AUDIN

        @eavasi, да, к сожалению как вирус гриппа мутируют:-))

        При чём одновременно блокируются и диспетчер задач и рабочий стол. Так что популярные рекомендации на сайтах антивирусников не прокатывают... Была уже идея форматнуть весь винт...Ребятки знакомые говорили, что за одно SMS до 1500 рублей снимают и нет гарантии, что код придёт.

        1. eavasi

          @AUDIN, разумеется, что отсылать СМС — это не выход. Более того, это просто неразумный шаг. Необходимо бороться с баннером всеми имеющимися силами, используя все средства, описанные на этом и других сайтах.

  66. Уведомление: Встретим кибер вымогателей 100% защищенными | БЕЛАЯ ШЛЯПА

  67. danil

    здравствуйте!!!

    помогите пожалуйста убрать банер с отправить текст 746263 на номер 8353

    заранее благодарю!!!

    1. eavasi

      @danil, задравствуйте, чем я могу вам помочь? У вас проблема, не описанная ни в одной из статей цикла о программах вымогателях?

      Если ДА, то опишите ее подробнее.

      1. danil

        @eavasi, danil

        я облазил весь интернет и тоже немог найти этот дурачкий ключь вот там что написанно............"чтобы получить код удаление, отправьте смс с текстом 746263 на номер 8353" помогите чем сможете она просто дастала меня.

        заранее благодарю!!!

        Ответить на комментарий

  68. danil

    здравствуйте!!!

    помогите пожалуйста убрать банер с отправить текст 746263 на номер 8353

    заранее благодарю!!!

    1. eavasi

      @danil, задравствуйте, чем я могу вам помочь? У вас проблема, не описанная ни в одной из статей цикла о программах вымогателях?

      Если ДА, то опишите ее подробнее.

      1. danil

        @eavasi, danil

        я облазил весь интернет и тоже немог найти этот дурачкий ключь вот там что написанно............"чтобы получить код удаление, отправьте смс с текстом 746263 на номер 8353" помогите чем сможете она просто дастала меня.

        заранее благодарю!!!

        Ответить на комментарий

      2. аркадий

        помогите у меня банер вообще гавнянны требуит через терменал экспресс-оплаты заплотить 450р на номер 9653919220 потом написать кот операции счека в поле кода(( че делать?

  69. danil

    я облазил весь интернет и тоже немог найти этот дурачкий ключь вот там что написанно............"чтобы получить код удаление, отправьте смс с текстом 746263 на номер 8353" помогите чем сможете она просто дастала меня.

    заранее благодарю!!!

      1. Danil

        @eavasi,

        обычный но не совсем, такого текста нету «746263» на короткий номер 8353, даже смотрел в списке кодов на докторе веб, тоже там про такое сообщение ни слово, как быть???

            1. AUDIN

              @Danil, неправильный ответ:-)) Людьми ж всё придумано... Если ваш баннер на вроде того, что я описывал (пост за 12 февраля) — то ничего там сложного нет. И не надо пользоваться ключами- надо бороться, с корнем выдирать. Опишите, как внешне выглядит.

              1. Danil

                @AUDIN,

                розовый фон, там деваха азиатской внешности...просит что бы я отправил текст «746263» на короткий номер 8353...

                1. AUDIN

                  @Danil, На весь экран? Диспетчер задач, рабочий стол- что-либо отображается? Или сразу после «Добро пожаловать» короткий звуковой сигнал системного динамика и сразу баннер?

                  1. Danil

                    @AUDIN,

                    не слево на четверть страничы и только в стандартном браузере и в опере!!!!

                    1. AUDIN

                      @Danil, не знаю, насколько вы знаете компьютер...Самое простое вас следующее...

                      В стандартном:

                      1. Первый вариант. Идем сюда: пуск /панель управления/своиства обозревателя /дополнительно/ сброс ( Это удаляет временные файлы и отключает нестандартные надстройки...), потом перезагрузить компьютер и заново открыть интернет эксплорер. Порно информер удалось удалить, но если не помогло, смотрим дальше.

                      2. Второй вариант. Заходим сюда: Свойства обозревателя/ --> /Дополнительно/ --> /Обзор/ --> снять «флажок» с пункта «включить сторонние расширения обозревателя» --> перезагрузить систему -->открыть эксплорер --> Информера нет, все получилось.

                      3. Третий вариант: В 'свойствах обозревателя' (седьмой эксплорер) выбираете пункт 'программы', потом 'надстройки' и выключаете надстройку «streaming video extension». Перезапускаем интернет-браузер и, вуаля, злосчастный информер исчезает.

                      4. Самый простой способ(если включено восстановление): Пуск => Все программы => Стандартные => Служебные => Восстановление системы => Восстановление более раннего состояния компьютера выбираете день ранее загрузки

                      В Опере: 1. Открываем Opera. Выбираем пункт меню “Инструменты -> Настройки”.

                      2. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом заходим в “Настройки Javascript”.

                      3. В открывшемся окне настроек Javascript стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.

                      4. Перезапускаем Оперу. Все, готово!

                      Также можно удалить сами файлы: в поле “Папка пользовательских файлов Javascript” можно увидеть адрес вредоностных файлов с расширением «js». Если у вас там будет написано “C:WINDOWS uscripts” то удаляйте всю папку “uscripts”

                      Ну, если не поможет- только руками:-))

                    2. Danil

                      @AUDIN,

                      СПАСИБО БОЛЬШОЕ всё норм, от всей души благодарю, теперь сам буду если что обращаться и другим советовать ваш сайт!!!!!

                    3. AUDIN

                      @Danil, да на здоровье... На всякий случай:

                      поищите на своём компьютере папку adsubscribe.

                      Бывает, что подобная бяка там сидит.В ней один файлик-

                      наподобие uninstall. Смело удаляйте. И прогоните

                      машину утилитой avz.

  70. danil

    я облазил весь интернет и тоже немог найти этот дурачкий ключь вот там что написанно............"чтобы получить код удаление, отправьте смс с текстом 746263 на номер 8353" помогите чем сможете она просто дастала меня.

    заранее благодарю!!!

      1. Danil

        @eavasi,

        обычный но не совсем, такого текста нету «746263» на короткий номер 8353, даже смотрел в списке кодов на докторе веб, тоже там про такое сообщение ни слово, как быть???

          1. eavasi Автор записи

            @AUDIN, в том и дело, что все типично и задачи по его разблокировке унифицируются.

            1. AUDIN

              @Danil, неправильный ответ:-)) Людьми ж всё придумано... Если ваш баннер на вроде того, что я описывал (пост за 12 февраля) — то ничего там сложного нет. И не надо пользоваться ключами- надо бороться, с корнем выдирать. Опишите, как внешне выглядит.

              1. Danil

                @AUDIN,

                розовый фон, там деваха азиатской внешности...просит что бы я отправил текст «746263» на короткий номер 8353...

                1. AUDIN

                  @Danil, На весь экран? Диспетчер задач, рабочий стол- что-либо отображается? Или сразу после «Добро пожаловать» короткий звуковой сигнал системного динамика и сразу баннер?

                  1. Danil

                    @AUDIN,

                    не слево на четверть страничы и только в стандартном браузере и в опере!!!!

                    1. AUDIN

                      @Danil, не знаю, насколько вы знаете компьютер...Самое простое вас следующее...

                      В стандартном:

                      1. Первый вариант. Идем сюда: пуск /панель управления/своиства обозревателя /дополнительно/ сброс ( Это удаляет временные файлы и отключает нестандартные надстройки...), потом перезагрузить компьютер и заново открыть интернет эксплорер. Порно информер удалось удалить, но если не помогло, смотрим дальше.

                      2. Второй вариант. Заходим сюда: Свойства обозревателя/ --> /Дополнительно/ --> /Обзор/ --> снять «флажок» с пункта «включить сторонние расширения обозревателя» --> перезагрузить систему -->открыть эксплорер --> Информера нет, все получилось.

                      3. Третий вариант: В 'свойствах обозревателя' (седьмой эксплорер) выбираете пункт 'программы', потом 'надстройки' и выключаете надстройку «streaming video extension». Перезапускаем интернет-браузер и, вуаля, злосчастный информер исчезает.

                      4. Самый простой способ(если включено восстановление): Пуск => Все программы => Стандартные => Служебные => Восстановление системы => Восстановление более раннего состояния компьютера выбираете день ранее загрузки

                      В Опере: 1. Открываем Opera. Выбираем пункт меню “Инструменты -> Настройки”.

                      2. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом заходим в “Настройки Javascript”.

                      3. В открывшемся окне настроек Javascript стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.

                      4. Перезапускаем Оперу. Все, готово!

                      Также можно удалить сами файлы: в поле “Папка пользовательских файлов Javascript” можно увидеть адрес вредоностных файлов с расширением «js». Если у вас там будет написано “C:WINDOWS uscripts” то удаляйте всю папку “uscripts”

                      Ну, если не поможет- только руками:-))

                    2. eavasi Автор записи

                      @AUDIN, спасибо, что помогли в очередной раз.!!!

                    3. Danil

                      @AUDIN,

                      СПАСИБО БОЛЬШОЕ всё норм, от всей души благодарю, теперь сам буду если что обращаться и другим советовать ваш сайт!!!!!

                    4. AUDIN

                      @Danil, да на здоровье... На всякий случай:

                      поищите на своём компьютере папку adsubscribe.

                      Бывает, что подобная бяка там сидит.В ней один файлик-

                      наподобие uninstall. Смело удаляйте. И прогоните

                      машину утилитой avz.

  71. Уведомление: СМС на номер 9800. Разблокировка порно баннера | БЕЛАЯ ШЛЯПА

  72. Алексей

    У меня сегодня появился банер вымогатель, такой же розовый фон, смс с текстом(1275003) на номер (8353), блокирует диспетчер задач, стоит по середине экрана и ни куда не хочет перемещаться, запускается сразу после 5 секунд загрузки компа. Читал всякие способы но не уверен что ето вообще для него, а у вас на сайте описываються очень похожие банеры, может подскажете простыми словами как его УНИЧТОЖИТЬ?

    1. eavasi

      @Алексей, попробуйте хотя бы несколько способов. Я бы подсказал что нибудь. но я не знаю, какой из описанных здесь десятков способов удаления этих вирусов, не работает. О вашем баннере я знаю только то, что он розовый и появляется через 5 секунд после системы, согласитесь, что недостаточная база для того, чтобы строить какие-то догадки.

      Спасибо за комментарий.

  73. Алексей

    У меня сегодня появился банер вымогатель, такой же розовый фон, смс с текстом(1275003) на номер (8353), блокирует диспетчер задач, стоит по середине экрана и ни куда не хочет перемещаться, запускается сразу после 5 секунд загрузки компа. Читал всякие способы но не уверен что ето вообще для него, а у вас на сайте описываються очень похожие банеры, может подскажете простыми словами как его УНИЧТОЖИТЬ?

    1. eavasi

      @Алексей, попробуйте хотя бы несколько способов. Я бы подсказал что нибудь. но я не знаю, какой из описанных здесь десятков способов удаления этих вирусов, не работает. О вашем баннере я знаю только то, что он розовый и появляется через 5 секунд после системы, согласитесь, что недостаточная база для того, чтобы строить какие-то догадки.

      Спасибо за комментарий.

  74. Danil

    опять высвтилось отправить текст 140 на номер 7132 и ни как в опере не убирается...

    1. eavasi

      @Danil, делайте все внимательно, как написано. Больше, чем написано в моих десяти статьях, я ничего добавить пока не могу.

      Не торопитесь и делайте все по пунктам, серьезно и вдумчиво. Все должно получится, у десятков тысяч получилось, и у вас получится!

      1. Danil

        @eavasi,

        вост. системы не помогло, а про настройки оперы, я не могу влезть опера блокированна!!!!

        1. eavasi

          @Danil, судя по всему был вброс новых баннеров, даже я предполагаю, что на новой технологии изготовленных, потому что очень много сегодня и вчера мне об этом пишут и посещаемость статей по поводу баннера скакнула опять.

          К сожалению все идет по спирали. Внешне события выглядят так же как и в прошлую эпидемию, а технологически они уже совсем другие.

      2. Danil

        @eavasi,

        а что делать если опера блокированна как выполнить действия:

        В Опере: 1. Открываем Opera. Выбираем пункт меню “Инструменты -> Настройки”.

        2. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом заходим в “Настройки Javascript”.

        3. В открывшемся окне настроек Javascript стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”????????

          1. Danila

            @eavasi,

            сносил, потом опять её загружаю а там снова банер тупо белый и всё и написанно отправьте текст 140 на номер 7132 не перемещается ни чего, хорошо хоть диспетцер задачь работает, вот через него и закрываю...

            работает толька ЭКСПЛОЕР...

                1. eavasi

                  @Danila, Чтобы удалить баннер из Opera делаем следующее:

                  1. Заходим в Opera. В меню Инструменты > Настройки > Дополнительно > Содержимое > Настройки JavaScript. В поле “Папка пользовательских файлов JavaScript” стираем все полностью, нажимаем “ОК”

                  2. Также по пути, описанном в п. 1 можно удалить все файлы баннеров с расширением *.js

                  3. Если по указанному в п. 1 вы видите сообщение “C:WINDOWS uscripts”, то следует удалить всю папку “uscripts”

                  Также для удаления порнографического баннера можно поступить так:

                  Когда появляется порно информер, откройте диспетчер задач сочетанием клавишь Ctrl+Alt+Delete и на вкладке “Приложения” найдите вредоносную программу, запишите ее название в Блокнот. Далее откройте меню Пуск > Выполнить > regedit > Правка > Поиск. В строке поиска впишите сохраненное название программы и удалите все записи, связанные с ним. Потом перезапустите машину в безопасном режиме (во время загрузки жмите клавишу F8) и с помощью поиска найдите все файлы и каталоги с таким названием и удалите их. Также сотрите все каталоги и файлы из папки C:WINDOWSTemp, а проще говоря, очистите папку Temp полностью.

                  Есть и другая методика:

                  1. Скачать и установить программу Process Explorer (Ссылка)

                  2. Скачать и распаковать в любую папку программу AVZ (Ссылка)

                  3. Устанавливаем AVZ

                  4. Закрыть все программы, которые имеют доступ в Интернет

                  5. Отключить Интернет принудительно вручную

                  6. Запустить программу Process Explorer

                  7. Найти процесс с именем, похожим на kui38 или другое, которое имеет красный цвет, то есть пытается подключиться к Интернет.

                  8. Наведите на найденный процесс курсор мыши и убедитесь, что папкой его запуска является папка Temp, находящаяся по пути C:Documents and SettingsПОЛЬЗОВАТЕЛЬLocal SettingsTemp

                  9. Выбираем на родительском процессе этого процесса “kill process tree” в контекстном меню, вызываемом правой кнопкой мыши. Окно порно информера или баннера должно исчезнуть.

                  10. Далее в “Мой компьютер” меню Свойства папки устанавливаем “Показывать скрытые файлы и папки” и снимаем галочку со “Скрывать защищенные системные файлы”

                  11. Идем по пути C:Documents and SettingsПОЛЬЗОВАТЕЛЬLocal SettingsTemp

                  12. Находим в этой папке файлы с названием процесс, о котором мы говорили в п. 6

                  13. Удаляем эти файлы по одному с помощью меню программы “AVZ” “Отложенное удаление файла”

                  14. Не закрывая AVZ, перезагружаем компьютер

                  15. Запускаем AVZ и с помощью функции “Мастер поиска и устранения проблем”, разблокируем запуск Диспетчера Задач

  75. Danil

    опять высвтилось отправить текст 140 на номер 7132 и ни как в опере не убирается...

    1. eavasi

      @Danil, делайте все внимательно, как написано. Больше, чем написано в моих десяти статьях, я ничего добавить пока не могу.

      Не торопитесь и делайте все по пунктам, серьезно и вдумчиво. Все должно получится, у десятков тысяч получилось, и у вас получится!

      1. Danil

        @eavasi,

        вост. системы не помогло, а про настройки оперы, я не могу влезть опера блокированна!!!!

        1. eavasi

          @Danil, судя по всему был вброс новых баннеров, даже я предполагаю, что на новой технологии изготовленных, потому что очень много сегодня и вчера мне об этом пишут и посещаемость статей по поводу баннера скакнула опять.

          К сожалению все идет по спирали. Внешне события выглядят так же как и в прошлую эпидемию, а технологически они уже совсем другие.

      2. Danil

        @eavasi,

        а что делать если опера блокированна как выполнить действия:

        В Опере: 1. Открываем Opera. Выбираем пункт меню “Инструменты -> Настройки”.

        2. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом заходим в “Настройки Javascript”.

        3. В открывшемся окне настроек Javascript стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”????????

          1. Danila

            @eavasi,

            сносил, потом опять её загружаю а там снова банер тупо белый и всё и написанно отправьте текст 140 на номер 7132 не перемещается ни чего, хорошо хоть диспетцер задачь работает, вот через него и закрываю...

            работает толька ЭКСПЛОЕР...

                1. eavasi

                  @Danila, Чтобы удалить баннер из Opera делаем следующее:

                  1. Заходим в Opera. В меню Инструменты > Настройки > Дополнительно > Содержимое > Настройки JavaScript. В поле “Папка пользовательских файлов JavaScript” стираем все полностью, нажимаем “ОК”

                  2. Также по пути, описанном в п. 1 можно удалить все файлы баннеров с расширением *.js

                  3. Если по указанному в п. 1 вы видите сообщение “C:WINDOWS uscripts”, то следует удалить всю папку “uscripts”

                  Также для удаления порнографического баннера можно поступить так:

                  Когда появляется порно информер, откройте диспетчер задач сочетанием клавишь Ctrl+Alt+Delete и на вкладке “Приложения” найдите вредоносную программу, запишите ее название в Блокнот. Далее откройте меню Пуск > Выполнить > regedit > Правка > Поиск. В строке поиска впишите сохраненное название программы и удалите все записи, связанные с ним. Потом перезапустите машину в безопасном режиме (во время загрузки жмите клавишу F8) и с помощью поиска найдите все файлы и каталоги с таким названием и удалите их. Также сотрите все каталоги и файлы из папки C:WINDOWSTemp, а проще говоря, очистите папку Temp полностью.

                  Есть и другая методика:

                  1. Скачать и установить программу Process Explorer (Ссылка)

                  2. Скачать и распаковать в любую папку программу AVZ (Ссылка)

                  3. Устанавливаем AVZ

                  4. Закрыть все программы, которые имеют доступ в Интернет

                  5. Отключить Интернет принудительно вручную

                  6. Запустить программу Process Explorer

                  7. Найти процесс с именем, похожим на kui38 или другое, которое имеет красный цвет, то есть пытается подключиться к Интернет.

                  8. Наведите на найденный процесс курсор мыши и убедитесь, что папкой его запуска является папка Temp, находящаяся по пути C:Documents and SettingsПОЛЬЗОВАТЕЛЬLocal SettingsTemp

                  9. Выбираем на родительском процессе этого процесса “kill process tree” в контекстном меню, вызываемом правой кнопкой мыши. Окно порно информера или баннера должно исчезнуть.

                  10. Далее в “Мой компьютер” меню Свойства папки устанавливаем “Показывать скрытые файлы и папки” и снимаем галочку со “Скрывать защищенные системные файлы”

                  11. Идем по пути C:Documents and SettingsПОЛЬЗОВАТЕЛЬLocal SettingsTemp

                  12. Находим в этой папке файлы с названием процесс, о котором мы говорили в п. 6

                  13. Удаляем эти файлы по одному с помощью меню программы “AVZ” “Отложенное удаление файла”

                  14. Не закрывая AVZ, перезагружаем компьютер

                  15. Запускаем AVZ и с помощью функции “Мастер поиска и устранения проблем”, разблокируем запуск Диспетчера Задач

  76. Алексей

    Всем спасибо что ответ не проигнорировали. Но сегодня день удачный получился. Я опишу свой способ как я убрал етот банер. Описываю банер, розовый цвет, три картинки с девахами, находится на радочем столе по середине, тоесть немного места для работы есть, также просит отослать смс для удаления, блокирует: диспетчер задач, и перезагрузку компа. При нажатии АЛЬТ+ТАБ то написано название (xodeccc), ета тварь сидит на рабочем столе поверх ВСЕХ окон, но не проявляет себя в играх, у меня установлен браузер ГУГЛ и я так понемаю такой банер к нему не пристаёт. (Я описываю для того что может кто-то узнает приметы банера и ему это хоть както поможет). И пришел я вечером домой, вкл. комп и опять начал бороться с вирусом, я вспомнил о вызове реестра, но там не рискнул ничего отключать, тогда я вспомнил про прогу CCleaner, выбрал сервис/автозагрузку/и начал вынюхивать там что-то подозрительное, но там было точно также, и тут я заметил ексешный файл под названием «ctfmon.exe» а путь его был «C:WINDOWS.0system32ctfmon.exe» я его с опаской отвлючил, банер ещё не исчез, я перезагрузил комп, и воаля он больше не загрузился, дальше мона делать с ним что угодно но я его пока не удалял так как я если чё ево опять отключу, и чтоб не забыть я отписываюсь вам. УДАЧИ!

  77. Алексей

    Всем спасибо что ответ не проигнорировали. Но сегодня день удачный получился. Я опишу свой способ как я убрал етот банер. Описываю банер, розовый цвет, три картинки с девахами, находится на радочем столе по середине, тоесть немного места для работы есть, также просит отослать смс для удаления, блокирует: диспетчер задач, и перезагрузку компа. При нажатии АЛЬТ+ТАБ то написано название (xodeccc), ета тварь сидит на рабочем столе поверх ВСЕХ окон, но не проявляет себя в играх, у меня установлен браузер ГУГЛ и я так понемаю такой банер к нему не пристаёт. (Я описываю для того что может кто-то узнает приметы банера и ему это хоть както поможет). И пришел я вечером домой, вкл. комп и опять начал бороться с вирусом, я вспомнил о вызове реестра, но там не рискнул ничего отключать, тогда я вспомнил про прогу CCleaner, выбрал сервис/автозагрузку/и начал вынюхивать там что-то подозрительное, но там было точно также, и тут я заметил ексешный файл под названием «ctfmon.exe» а путь его был «C:WINDOWS.0system32ctfmon.exe» я его с опаской отвлючил, банер ещё не исчез, я перезагрузил комп, и воаля он больше не загрузился, дальше мона делать с ним что угодно но я его пока не удалял так как я если чё ево опять отключу, и чтоб не забыть я отписываюсь вам. УДАЧИ!

  78. AUDIN

    Алексею... Это похоже на plugin.exe. Он прячется в Program Files...

    Всем, всем... После закрытия смс-банера- обязательно прогоните компьютер утилитой avz... Только не забудьте запустить «Драйвер расширенного мониторинга процессов». Находится во вкладке AVZPM. Ну и во вкладке менеджера автозапуска удалите соотв. строки реестра (где указан вирус)...

    P.S. На всякий случай имейте на раб. столе (где- нибудь слева или справа, но не по центру экрана) Process Explorer...Отличная замена отрубленному диспетчеру задач;-))

    ctfmon.exe- это языковая панель.

  79. AUDIN

    Алексею... Это похоже на plugin.exe. Он прячется в Program Files...

    Всем, всем... После закрытия смс-банера- обязательно прогоните компьютер утилитой avz... Только не забудьте запустить «Драйвер расширенного мониторинга процессов». Находится во вкладке AVZPM. Ну и во вкладке менеджера автозапуска удалите соотв. строки реестра (где указан вирус)...

    P.S. На всякий случай имейте на раб. столе (где- нибудь слева или справа, но не по центру экрана) Process Explorer...Отличная замена отрубленному диспетчеру задач;-))

    ctfmon.exe- это языковая панель.

  80. Уведомление: Сайты от команды 4632! » Blog Archive » Как убрать порно-баннер

  81. игорь

    помогите,на рабочем столе вылазиет баннер при загрузки просит отправить смс с текстом 1101033 на номер 5121 заранее спасибо

    1. eavasi

      Ищите второй комп. Кчайте CureIt и из безопасного режима обезвреживайте. заразу.

      Я именно сейчас это делаю на ноутбуке, который взял на выходные в конторе. Только у меня код с 28 на конце, а все остальное так же. Видимо это новая модификация вируса. Разблокировка подбором кода не помогает.

    2. eavasi

      Попробуй сделать следующее:

      Вначале вводим код 1078376871,

      Потом будет написано, что код принят

      Вводим код 2856494592

  82. игорь

    помогите,на рабочем столе вылазиет баннер при загрузки просит отправить смс с текстом 1101033 на номер 5121 заранее спасибо

    1. eavasi

      Ищите второй комп. Кчайте CureIt и из безопасного режима обезвреживайте. заразу.

      Я именно сейчас это делаю на ноутбуке, который взял на выходные в конторе. Только у меня код с 28 на конце, а все остальное так же. Видимо это новая модификация вируса. Разблокировка подбором кода не помогает.

    2. eavasi

      Попробуй сделать следующее:

      Вначале вводим код 1078376871,

      Потом будет написано, что код принят

      Вводим код 2856494592

  83. Razoira

    помогите пожалуйста!
    я не знаю что мне делать.блиинн...
    как удалить порно информер с экрана рабочего стола 8353.Блокирует раблту компьютера(

  84. Faira23

    помогите пожалуйста, баннер на рабочем столе все блокирует, можно только послать смс на номер 5581 с текстом 35401115.что делать?

  85. eavasi

    Пожалуйста напишите, что Вы уже пытались делать? Какие итоги и результаты?

  86. Kanal7

    у меня та же самая ситуация у меня на компе баннер который требует отправить смс на номер 8353. я пыталась восстановить систеу, но все бесполезно.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  87. eavasi

    Пытались восстановить систему какими методами, опишите подробно. Только после этого можно будет найти рецепт для вас.

  88. Олег

    WARNING !
    РЕБЯТА, НЕ ПАРЬТЕСЬ! Я нашел клевый способ убрать эту фигню по-крайней мере с экрана !
    Вам потребуются две проги : ArtMoney (бесплатная версия) и Unlocker_Portable_1.9.5_Multilingual . Итак, начнем по порядку!
    1) Запускаем ArtMoney, открываем Настройки -> Основные, в меню «Объект» выбираем «Процесс», в меню «Показывать процессы» выбрать «Все» или «С окнами», жмем «ОК».
    2) Вот, мы получили замену заблокированному Диспетчеру задач. Теперь в окошке «Выбери процесс» ищем процесс со странным именем и путем, которого раньше Вы не встречали (у меня СМС-вирь запустился из папки Администратор/Temp) — это и есть Ваш любимый вирус !
    3)Записываем на бумажку имя исполняемого файла вируса, открываем «Поиск» в Windows и ... правильно догадались — ищем этот файл !
    4)Не закрывая «Поиск», запускаем Unlocker (классная штука!). В «Поиске»на найденном файле щелкаем правой кнопкой мыши и выбираем пункт Unlocker. В окошке «Действие» выбираем «Удалить», жмем «ОК».
    5)Если Unlocker выдаст окошко с заблокированными путями, то есть процессами, которые не позволяют удалить данный файл, то для начала ищите процесс с именем файла нашего ... то есть Вашего вируса (у меня их было аж 4 копии) и удаляйте злостный процесс и злостный файл злостного вируса, написанного ну очень злостным и уродливым программистом!

    Желаю Вам удачи в освобождении! 😉 Если че, пишите мне на мыло schaublin_blin@rambler.ru

  89. eavasi

    Отлично, Олег. Большое спасибо за методику. Уверен, что она рабочая. Благодарность ото всех читателей.

    1. Григорий

      Прикольно придумал, использовать артмани. Надо будет попробовать

  90. Денис

    Я думаю проблема такаежа как и всех. Но у меня розовый порнобанер в катором требуеться пополнить счет в размере 300 руб. на номер 89852819228

Добавить комментарий

Ваш e-mail не будет опубликован.