Советы и помощь в устранении вирусов и их последствий

Discussion in 'Защита ОС: антивирусы, фаерволы, антишпионы' started by aim, 16 Jan 2010.

  1. Decker

    Decker New Member

    Joined:
    1 Jul 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    http://file.qip.ru/photo/YoMzGYTL/%D0%A4%D0%BE%D1%82%D0%BE001_2.html

    вот скрин.Требует оплаты на кошелек WebMoney
     
  2. Kupa

    Kupa Banned

    Joined:
    11 Jun 2009
    Messages:
    17
    Likes Received:
    0
    Reputations:
    0
    Загрузись в безопасном режиме и пройдись AVZ и CureIT'ом
     
  3. skelet666

    skelet666 Banned

    Joined:
    13 Sep 2011
    Messages:
    92
    Likes Received:
    37
    Reputations:
    -5
    У товарища словился порнобанер требующий для разблокировки отправить деньги на счёт Телефона. Перепробовал все способы - ничего не помогло и в итоге по старинке снес и переустановил Винду.
     
  4. Kuteke

    Kuteke Banned

    Joined:
    26 Jun 2010
    Messages:
    179
    Likes Received:
    26
    Reputations:
    6
    Decker,
    Не сноси, дай нам дамп диска, т.е. C:/WINDOWS/, дальше делай че хочешь :) А по теме, то тебя не спасти...
     
  5. CatalystX

    CatalystX New Member

    Joined:
    5 Sep 2011
    Messages:
    36
    Likes Received:
    0
    Reputations:
    0
    Decker, обычный локер переписывающий MBR. Выводится запросто и не надо боятся слов "переписывающий MBR" это не TDL который не один антивирь пролечить не может.
    Как вывести такой локер? Да проще простого.
    Нам понадобится LiveCD(Kasperksy, ESET) и любая утилита для излечения от руткита TDL4.
     
  6. maksum1609

    maksum1609 New Member

    Joined:
    18 Oct 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Винблокиратор

    Выложу свою статейку. По ней я восстановил не одну сотню компов. Но так, как все постоянно усовершенствуется, может быть чего то не так, но это основной принцип работы блокиратора, если что логическим принципом можно доити и самому.

    :) :D :rolleyes: :cool:

    В режиме LiveCD, в папке Windows\sistem32\ отыскать файл cmd.exe. Его нужно вырезать и переместить в какую то, заранее заготовленную, папку для последующего возврата на прежнее место (в любом случае). Это нужно для того, чтобы в процессе последующей перезагрузки отменить загрузку *.bat файлов. В большинстве случаев, программа (вирус) имеет такое расширение.
    После перезагрузки компа, если не включилось блокировочное окно, то выбрано правильное направление. В этом случае заходим в командную строку, запускаем rededit (редактор реестра) и идем по пути \HKEY_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell (примерно 8 строка снизу) смотрим значение файла. Должно быть Explorer.exe, или прописан путь нахождения вредоносного файла. Прописуем Explorer.exe , предварительно запомним путь вредоносного файла и сохраняем. По указанному пути находим вредоносный файл и удаляем. Не помешает поискать дубликаты. Обязательно возвращаем ранее перенесенный cmd.exe на место и делаем перезагрузку.
    Если после перемещения cmd.exe , при перезагрузке, всплывает «вредоносное окно», значит фай имеет расширение *.exe. Возвращаем cmd.exe на место и загружаемся с LiveCD. Обычным поиском ищем файлы с расширением *.exe за то число, когда и возник «вирус» и по очереди запускаем каждый. Который файл будет вредоносный, тот и запустит «ЗАСТАВКУ». Перегружаемся в LiveCD, находим этот файл и удаляем. Делаем перезагрузку компа. Винда загрузится но без ярлыков и прочего, будет только картинка рабочего стола. Нажимаем Ctrl+Alt+Del , в диспетчере задач нажимаем \Файл\Новая задача\, в командной строке вводим regedit и в редакторе реестра заходим по выше указаному пути и в строке Shell прописуем Explorer.exe. Через минуту все должно включится. Делаем перезагрузку и утилитами чистим реестры и ненужные файлы, также ищем дубликаты вредоносной программы.

    P.S. Обязательно почистить все Temp и Templorary Internet Fills.


    Кому помог – не откажусь от благодарности (на пивко):
    WebMoney
    U288174289659
    R299711314744
    Z418993230636
     
  7. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    maksum1609 #66
    В начале лучше запустить ЛайвСиДИ, затем сделать восстановление системы из точки восстановления, если она есть - то 80 процентов, всё теперь будет норм :)
    И ещё, исправь ошибки, вероятно ты их специально поставил, но поверь - далеко не прикольно..
     
    #67 Osstudio, 24 Oct 2011
    Last edited: 24 Oct 2011
  8. maksum1609

    maksum1609 New Member

    Joined:
    18 Oct 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    По поводу ошибок - если они есть то я их сделал не специально! Укажите какие и я их с удовольствием исправлю. Тем более я не хакер и не программист, просто немного волоку в технике. :p
     
  9. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    Windows\sIstem32\, правильно надо Windows\system32\

    reDedit, правильно надо regedit

    Templorary Internet Fill[]s, пропустил букву, правильно Filles...
    P.S Есть и ещё вроде, почитай текст, посмотри.
     
  10. maksum1609

    maksum1609 New Member

    Joined:
    18 Oct 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Спасибо !!!! Люблю критику и работу над ошибками! Статью поправил, но не обессудте, подучиваю дочку и иногда отвлекаюсь, если что пишите :)

    В режиме LiveCD, в папке Windows\system32\ отыскать файл cmd.exe. Его нужно вырезать и переместить в какую то, заранее заготовленную, папку для последующего возврата на прежнее место (в любом случае). Это нужно для того, чтобы в процессе последующей перезагрузки отменить загрузку *.bat файлов. В большинстве случаев, программа (вирус) имеет такое расширение.
    После перезагрузки компа, если не включилось блокировочное окно, то выбрано правильное направление. В этом случае заходим в командную строку, запускаем regedit (редактор реестра) и идем по пути \HKEY_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell (примерно 8 строка снизу) смотрим значение файла. Должно быть Explorer.exe, или прописан путь нахождения вредоносного файла. Прописуем Explorer.exe , предварительно запомним путь вредоносного файла и сохраняем. По указанному пути находим вредоносный файл и удаляем. Не помешает поискать дубликаты. Обязательно возвращаем ранее перенесенный cmd.exe на место и делаем перезагрузку.
    Если после перемещения cmd.exe , при перезагрузке, всплывает «вредоносное окно», значит фай имеет расширение *.exe. Возвращаем cmd.exe на место и загружаемся с LiveCD. Обычным поиском ищем файлы с расширением *.exe за то число, когда и возник «вирус» и по очереди запускаем каждый. Который файл будет вредоносный, тот и запустит «ЗАСТАВКУ». Перегружаемся в LiveCD, находим этот файл и удаляем. Делаем перезагрузку компа. Винда загрузится но без ярлыков и прочего, будет только картинка рабочего стола. Нажимаем Ctrl+Alt+Del , в диспетчере задач нажимаем \Файл\Новая задача\, в командной строке вводим regedit и в редакторе реестра заходим по выше указаному пути и в строке Shell прописуем Explorer.exe. Через минуту все должно включится. Делаем перезагрузку и утилитами чистим реестры и ненужные файлы, также ищем дубликаты вредоносной программы.

    P.S. Обязательно почистить все Temp и Templorary Internet Filles.


    Кому помог – не откажусь от благодарности (на пивко):
    WebMoney
    U288174289659
    R299711314744
    Z418993230636
     
  11. Hellpers

    Hellpers New Member

    Joined:
    5 Nov 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Способ третий найти оператора короткого номера и позвонить объяснив ситуацию с вирусом в 90% обезьянка на телефоне продиктует вам 1 или 2 разблокировачных кода.
    Далее чистим комп антивирусом.
     
  12. Akeksondr

    Akeksondr Member

    Joined:
    7 Oct 2010
    Messages:
    389
    Likes Received:
    51
    Reputations:
    7
    что то не верится в это
     
  13. Mr.Snuffer

    Mr.Snuffer Member

    Joined:
    2 Jul 2010
    Messages:
    140
    Likes Received:
    13
    Reputations:
    0
    При таком раскладе, я захожу на любой сайт с смс контентом, звоню оператору и говорю что у меня винлок требует тото тото отправить на номер такой-то. Они дают кей, я получаю контент нашару.
     
    1 person likes this.
  14. cleric.80

    cleric.80 Elder - Старейшина

    Joined:
    28 Mar 2008
    Messages:
    523
    Likes Received:
    243
    Reputations:
    14
    заражен MBR ,
    ФАЙЛОВОЙ СИСТЕМЫ НЕ ВИДНО!! , лайф версии касперского и Веба не катят, так же не кактит восстановление с помощью виндовского загрузочного диска, так же не помогает АКРОНИС
    что в таком случае делать (((
     
  15. tabletkO

    tabletkO Banned

    Joined:
    3 Nov 2011
    Messages:
    83
    Likes Received:
    20
    Reputations:
    11
    В гугл: fixmbr
     
  16. gugury76

    gugury76 New Member

    Joined:
    6 Jun 2011
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Можно попробовать восстановить MBR с помощью загрузочного диска Paragon Partition Manager BootCD или R-Studio
     
  17. eclipse92

    eclipse92 Banned

    Joined:
    17 Jan 2011
    Messages:
    0
    Likes Received:
    2
    Reputations:
    -11
    MBRLocker

    как убрать MBRLocker у меня 7 винда сразу как влючаю комп пишутся буквы яяя и т.д как его в ручную убрать?
     
  18. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    https://forum.antichat.ru/thread302661.html
     
  19. eclipse92

    eclipse92 Banned

    Joined:
    17 Jan 2011
    Messages:
    0
    Likes Received:
    2
    Reputations:
    -11
    делаю все как по видео ничего нет, может есть где-нибудь мануал для 7 винды
     
  20. Novchik

    Novchik New Member

    Joined:
    26 Jan 2012
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Что за вирус?

    Проверил Курелтом от доктора Вэба ноут-он обнаружил пару видов- Тrojan.SMSSend.1405 и 968...
    Что делают данные трояны?