Продолжаем веселиться.
Следующий баннер - это баннер с номером 89096885086. Как гласит текст на баннере - оказывается я сам себе установил его, для доступа на сайт авторов баннера. Вобще текст баннера - такая бредятина, что просто жуть. Извините за картинку, что мог замазал...
Следующий баннер - это баннер с номером 89096885086. Как гласит текст на баннере - оказывается я сам себе установил его, для доступа на сайт авторов баннера. Вобще текст баннера - такая бредятина, что просто жуть. Извините за картинку, что мог замазал...
Оказывается этот баннер - это рекламный информер. Фигня, что он полностью блокирует движения мыши. Как уж я буду получать при помощи этого баннера и абсолютно обездвиженного компа - это только авторы вируса ведают.
Ах, какая страшная угроза звучит в тексте баннера: "безвозвратно будут удалены BIOS и windows". Видимо баннер отрастит за 24 часа себе руки, чтобы с корнем вырвать из корпуса винт и микросхему BIOS, чтобы я уж точно НИКОГДА БЫ НЕ СМОГ восстановить систему.
"Попытки удалить баннер без кода приведут к нарушению работы ПК", как будто с баннером то мой комп работает в штатном режиме %). Чего я собственно теряю то? Да ничего!!!
Начинаем потрошить...
Начинаем потрошить...
Шаг первый. Загрузка компьютера с загрузочного диска (мой любимый Alkid_Live.CD.full.2011.03.28.iso.).
Шаг второй. Смотрим реестр (Пуск - > Программы -> Администрирование -> Редактор реестра).
Шаг второй. Смотрим реестр (Пуск - > Программы -> Администрирование -> Редактор реестра).
Проверяем ключ:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
(Эта часть реестра содержит название программ, которые будут запускаться автоматически, при входе пользователя.)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
(Эта часть реестра содержит название программ, которые будут запускаться автоматически, при входе пользователя.)
Видим там наш долгожданный вирус под весьма "оригинальным" названием "1437714529.exe"
Теперь необходимо посмотреть в параметре реестра, где собственно находится наш вирус и удалить его.
Теперь необходимо посмотреть в параметре реестра, где собственно находится наш вирус и удалить его.
В описании файла написана полная лабуда за исключением версии файла: 13.0.25882.7603
В общем, лечение стандартное: удаляем файл вируса и чистим автозагрузку в реестре.
DrWeb присвоил этому вирусу название Trojan.Winlock.3523.
Рекомендуется к прочтению:
Загрузочный диск (АЗЫ ручного вирусомочения).
Джентельменский набор софта!? Да пожалуйста!
Жизнь после вируса (восстановление windows XP бесплатной утилитой AVZ)
Убитый вирус - убитый рабочий стол. Исправляем.
Рекомендуется к прочтению:
Загрузочный диск (АЗЫ ручного вирусомочения).
Джентельменский набор софта!? Да пожалуйста!
Жизнь после вируса (восстановление windows XP бесплатной утилитой AVZ)
Убитый вирус - убитый рабочий стол. Исправляем.
Доброго времени суток, описываю ситуацию- комп грузится, не открывается мой компьютер и подключения, доктор вебер exe запускается отображается в процессах, но не появляется на рабочем столе, флешки не определяются,проги не запускаются, AVZ ничего не находит, смотрел автозагрузку по exe. ничего подозрительного. За неделю уже сталкивался 4 раза, заканчивается переустановкой ОСи(последний раз рыл часа 3) так ничего и не нашел. Что примечательно не просят ни денег ни смс
ОтветитьУдалитьПривет привет!
ОтветитьУдалитьЕсли баннера не было, то может помочь поиск в реестре по строке "explorer.exe".
К "explorer.exe" допустимы дописки "%1", "%13" или подобные с процентами, но если туда же дописывается и еще один exe-шник, это однозначно повод проверить его на вирус. Проще всего глянуть свойства файла, там написана всякая хрень.
Если был баннер, то тогда другой вариант, надо смотреть различные блокировки и всякие политики безопасности.
Доброго времени суток)) Брат подхватил на ноут заразу - висит баннер, № 9651893018, просит 500 р. Ничего не работает, ни мышь ни стрелки, только цифры и буквы, только английские и большие, пробовали коды, не помогают... Это возможно самим вылечить? У ноута нет дисковода.
ОтветитьУдалитьПривет привет! Вылечить такую беду однозначно возможно. Загрузиться ведь можно и с флэшки, а дальше по накатанному (http://imho-karma.blogspot.com/p/winlock.html).
ОтветитьУдалитьimho Можно ваши данные для связи взять,а то всю информацию не запомнишь, а тут Вы сможете всегда помочь.
ОтветитьУдалитьSkype diablo4366
Web-сайт: www.server-online.org
Да в принципе не вопрос.
ОтветитьУдалитьКонтактный майл уже озвучивал как то: viru.vir@yandex.ru
Прошу закидывать туда любые вирусы :)))
Давайте пока ограничимся майлом, дальше по ситуации. Майл проверяется ежедневно.
Начинаю потрошить...я аж испугался
ОтветитьУдалитьhttp://mrbelyash.blogspot.com/2011/07/trojanwinlock3481.html
нет, куда мне до Вас. Я по мелочи, да и не каждый захочет расковыривать вирус, кому то нужно его просто убить, без поиска пароля :)
ОтветитьУдалить