Клуб любителей классики ВАЗ-2107, ВАЗ 2104 и всего модельного ряда начиная от ВАЗ-2101 - доработка, тюнинг, ремонт, советы.

Добрый день!
Вот решил поделится действенным способом, который работает в 99% случаев.
Если уж с вами приключилась такая беда, как смс-блокер, то делается следующее. Компьютер запускается в "безопасном режиме с поддержкой командной строки". Для этого при запуске копма перед самым запуском винды надо нажать F8. Пиште regedit, нажимаете Enter. Откроется редактор реестра. Это очень важная "часть" винды - там находятся все настройки вашего компа, даже те, о которых вы не подозреваете. Поэтому делаем ТОЛЬКО, то что я говорю, в противном случаи можно полностью винду запороть.
И так. Перед нами редактор реестра. Открываем, нажимая на "+" слева от раздела. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В разделе Winlogon ищем параметр Shell, тыкаем по нему два раза, и пишем туда "explorer.exe" без ковычек.
Если в Shell уже прописан "explorer.exe", то тогда, тыкаем два раза поразделу Userinit и прописываем туда "C:\Windows\system32\userinit.exe,"
с запятой на конце и без ковычек. Перезагружаемся в обычном режиме. Всё.
З.Ы.
1. Если не запускается в безопасном режиме, то идем вот сюда и читаем.
2. Если не удалось запустить редактор реестра, то есть другой выход. Набираем в командной строке следующее точь в точь как написано: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /d explorer.exe нажимаем entrer. На вопрос о замене параметра нажимаем на клавиатуре "Y". Далее пишем reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d C:\Windows\system32\userinit.exe, (с запятой на конце) нажимаем entrer. На вопрос о замене параметра нажимаем на клавиатуре "Y".
Перезагрежаемся в обычном режиме.
Второй пункт можно выполнить и в обычном режиме, если у вас есть более менее адекватный доступ к командной строке.

У меня этот метод не сработал только один раз, когда я загрузившись в режиме командной строки увидел этот же смс-блокер. Тут поможет только подборка кода ответа. Идём в инет с компьютера друга. Залазием на сайт касперского или доктора веба, у них там есть сервисы для подборки кода. Или в гугле пишем "удалить баннер смс (цифры, которые он просит прислать) на номер (номер телефона)" ну или что-то подобное. Ищем ответы. Я очень много раз удалял эти баннеры и ещё ни раз не переставлял винду.
Всем удачи и не ловите такие баннеры.

А я обычно открываю word через командную строку, набираю CureIt делаю его гиперссылкой, скачиваю свежего "короеда" и лечу.

Да, помню приносили мне залоченого пациента, что удивительно - он нормально загрузился в безопасном, там я его докторвэбом и прибил, их утилитой Cureit

А как можно такую штуку поймать?

Димон на зелёнке
С инета, на флешке друга/подруги и т.д. можно запросто заловить. Или тебя в "живом" виде надо? Тогда смотри подозрительные файлы, типа 0ehjsvh.exe в system32, windows и других системных папках, а также в профиле пользователя

кошмарским оно определяется как Trojan.Winlocker. Cуществует много разновидностей, некоторые умеют пресекать попытки доступа в интернет.

Димон на зелёнке
Такую штуку можно словить словить где угодно в инете. Даже на "непорнушных" сайтах. Дело в том что это не вирус, а программка, которую пользователь сам устанавливает на свой комп, например при распаковки "хитрого" архива или другой программы, которую устанавливая, пользователь не прочёл "лицензионное соглашение". Чтобы такую штуку не словить, надо иметь как минимум хороший антивирь, но и это не панацея. Дело в том, что в большинстве своём такие СОВРЕМЕННЫЕ блокеры не содержат вредоносного кода и антивирусы, особенно бесплатные, их пропускают. Главное - не качайте ничего с сомнительных сайтов. Скорее всего они были сделаны специально, чтобы рассылать смс-блокеров.
Самое интересное, что это НЕ ВИРУС, потому как главное свойство вируса - плодиться и размножаться. А это существует в единственном экземпляре на компе. И если "прибить" запуск такого блокера, то он уже никогда не запустится.
VladiZlav
Longenen
Сколько раз пытался короедом выловить эту дрянь - ниразу не получалось, даже загрузка с Dr.web Live CD ничего не давала.
А как вы себя ведёте, если не работает ничего кроме поля ввода кода? Т.е. Тыкаешься мышкой хоть куда, а реакции ноль. Winkey+R, Winkey+D Тоже никакого результата. Активно только поле ввода кода? Причём в безопасном режиме тоже самое.

Shvarzneger
Для этого надо иметь Windows Live грузишься с флешки или с CD и удаляешь заразу с компа легко. А вообще, с поддержкой командной строки в безопасном режиме вроде можно запуститься, вот непомню уже

Besenok писал(а):Для этого надо иметь Windows Live грузишься с флешки или с CD и удаляешь заразу с компа легко.

На счёт всяких лайвсиди - это я в курсе, только задолбаешься её руками искать, а утилитки всякие в лайвсиди обычно устаревшие.

Besenok писал(а): А вообще, с поддержкой командной строки в безопасном режиме вроде можно запуститься, вот непомню уже

смотри мой первый пост.

Shvarzneger писал(а):Самое интересное, что это НЕ ВИРУС, потому как главное свойство вируса - плодиться и размножаться. А это существует в единственном экземпляре на компе. И если "прибить" запуск такого блокера, то он уже никогда не запустится.

а еще интереснее то, что эта хрень обязательно прописывается в автозагрузке. Так что используем любую самую простенькую утилитку, которая в фоне следит за автозагрузкой.
сам использую 2IP StartGuard, много раз спасала.

Трёхпальцевая комбинация - Диспечер задач - вкладка приложения - кнопка "новая задача". В коммандной строке пишем команды. Просто еxplorer вирус вам не позволит открыть, а вот winword - пожалуйста.

Longenen
Цеплял с месяц-два назад. pdfupg.exe назывался. У меня как раз адоба в автоматических обновлениях стоит. Ну файер запрос делал, мол разрешить или как? Ну разрешил и бац- баннер! Ничего не работало, никакая командная строка, ни тем паче, трёхпальцевая комбинация, не работали. В безопасном режиме картинка сразу вылезала. Подгрузка с флэшки антивиря не запускалась, т.к. биос не давал, ибо старый, а загрузку с привода - не разрешал. Вирусняка зацепил с воффки.ком.
Вот как-то так было.

Блин, такие страхи..А можно на форум выходить без подключение к сети?

Longenen
А если баннер сверху диспетчера?

Shvarzneger
Я натыкался на тронцев, попутно с winblock'ами зацепляли, так что безопасный режим вообще не грузился. А вообще совет из своей практики. Сделать загрузочную флешку с виндой и накачать portable версий софта (антивирусы, утилиты и т.д.) - очень удобно и практично. Тем более портабельные версии щас "умеют" и обновляться (в частности антивири), так что свежие базы обеспечены
З.Ы. Ради любопытства проверки устойчивости компа ко всяким "заразам" проводил эксперимент на домашнем компе. В общем поставил nod32 + outpost + mozila (с плагинами по безопасности) и неделю лазил по всяким развлекательным сайтам, также сайтам с кряками разными, на порносайты тоже лазил. После проверки 4 -мя разными антивирями ничего плохого не нашел. Мораль сей басни - надо защищаться заранее
З.Ы.Ы. Все пытаюсь довести винду до обморочного состояния, чтоб новую поставить, а она работает, "@" такая

Shvarzneger писал(а):Longenen
А если баннер сверху диспетчера?

Я умудрялся по памяти разрешение экрана менять и можно часть экрана видеть, в т.ч. и диспетчер

Besenok писал(а):Я умудрялся по памяти разрешение экрана менять и можно часть экрана видеть, в т.ч. и диспетчер

Я тоже такую фишку прочухал. Только это не всегда помогает.
Ставишь разрешение 800х600 на лучше 640х480 (если монитор позволяет). Перезагружаешься. Ставишь разрешение 1280х1024 ну или какое там у вас родное. И вуаля - баннер стал маленьким в левом верхнем углу.

Ребят, я не знаю чё у вас за вирь сидел, но у меня мышь вообще неактивна была и клава тоже, перегружался только кнопкой на системнике. Тут уже хоть как колдуй - нифига не мог сделать.

babay007
Я такой отключил зажимание на клаве Alt+Ctrl+поочереди все буковке на клаве тыкал, на какой-то букве он убился.

Покажите хоть скрин, как это выглядит на мониторе.

Это выглядит как окно с "весёлыми картинками" и просьбой кинуть денег почти на весь экран, которое не сворачивается и находится поверх всех остальных окон, даже диспетчера задач.

Shvarzneger писал(а):Это выглядит как окно с "весёлыми картинками" и просьбой кинуть денег почти на весь экран, которое не сворачивается и находится поверх всех остальных окон, даже диспетчера задач.

Ну чёт на розовом фоне у меня были и картинки не сильно "весёлые" (у друзей вылезали и по веселее, но лечилось проще).
Говорю клава и мышь лочились, какое блин там до скринсейва экрана, там не до этого было.

Вчера принесли ноут. Загружается и картинка во весь экран, гласящая о том, что владелец компа нарушил авторские права и т.д. В общем написал номер и предлагается пополнить счет на 400 рэ дабы получить код для разблокировки. В общем пришлось немного поразмыслить и поковыряться (безопасный режим был заблокирован) и удалил эту фигню. Потом с помощью AVZ сделал восстановление системы и винда еще поживет несколько месяцев, пока очередной вирус не снесет нафиг все Я жалею только об одном - номер не записал, вот бы с инета устроил ему смс флудилку

Besenok писал(а):Я жалею только об одном - номер не записал, вот бы с инета устроил ему смс флудилку

Моей жене недавно с одного номера начали СМСки приходить, типа люблю-немогу, перезвони и всё такое. Ну я подписал его штук на 50 рассылок (попробуй потом отпишись от всех), причём самые интересные рассылки были заказаны в 4 утра про новости гей клубов или прогноз погоды в Петропавловске-Камчатском. Вобщем после это СМСки прекратились.

Приносили разновидности этого дерьма просто пачками. Самые "классические" лечились банально:
1. Запускается чтонть типа Far Manager.
2. Вызывается диспетчер задач, в нем тупо прибивается процесс explorer. Слетает рабстол, панель и трей, а вместе с ними и троян.
3. Переходим (Alt-Tab) в Фар. Если диспетчер вызвать нам не дают, пускаем чтонть типа processxp от Sysinternals или Starter-а и вырезаем эксплорер ими. Если не дают запустить и их - переименовываем нужный софт в бессмысленное имя (в том числе и папку с софтом) и запускаем. Затем запускаем AVZ и с его помощью (Меню Файл -> Мастер поиска и устранения проблем) исправляем все вот те зехеля, что ТС правил через реестр, плюс еще много чего (в том числе и возвращаем "диспетчер задач").
4. Все, система живая. Останется только пройтись антивирем обновленным и прибить "источник", дабы опять не запустился. Ну либо придушить руками файл...

Сложные "экземпляры" вырезаются гораздо тяжелее... Но их не так много встречается Там в ход идет и перекидывание винта на другой комп, и ЛайвCD...

Shvarzneger писал(а):Тут поможет только подборка кода ответа. Идём в инет с компьютера друга. Залазием на сайт касперского или доктора веба, у них там есть сервисы для подборки кода.

Однажды пробовал ради прикола подобрать эту фигню на сайте Каспера. А дулю! Нифига не подошло. А зверь был "веселый" - пришлось корячиццо вручную

Поделюсь еще одним способом разблокировки для которого не надо никаких знаний компьютера.

итак на экране мы видим тра тра тра оправьте смс с кодом 11111111111 на номер 2222.
Звоним своему опсосу(мегафон билай и т.д.) и просим у них номер конторы которой принадлежит номер 2222.
далее звоним по полученному от опсоса номеру и гневно говорим что это такое комп залокировался денег вымогают ща в милицию пойду.
На что получаем ответ - простите это наш клиент оказался мошейником, милиция им уже занимается(и другие варианты этой лапши) держите номер разблокировки - вводим полученный номер и баннер пропадает.
так же на сайте drweb.ru есть генератор этих кодов