Познавательный блог  

Поиск по сайту

Гугль

Архивы

Поздравляем. Регистрация на портале для ГЕЕВ прошла успешно. (+79612915564)

"Поздравляем. Регистрация на портале для ГЕЕВ прошла успешно. Членство в ГЕЙ-клубе и просмотр видео платные. Для дальнейшего просмотра Вам необходимо: Пополнить счет абонента БИЛАЙН № +79612915564 на сумму 250 рублей. После оплаты, на выданном терминалом чеке оплаты, Вы найдёте код, который необходимо ввести в поле расположенное ниже. Спасибо за проявленный интерес к порталу."

Вот такое вот дерьмо появилось на компе. Очередной любитель порнушки скачал бесплатный просмотрщик порно-роликов.

Локер, хочу вам сказать, написан с умом и определенной долей злобы к рядовым юзерам. Ибо он блокирует абсолютно всё, даже безопасный режим. Никаким хитровыебанным образом мне не удалось запустить сторонние утилитки. На момент ебли с вирусом, его никто не определял и никакой деблокер кода рабочего не дал, хотя очень бы не помешало. Это лишь в конце я отправил его Касперскому и Доктору И скоро видимо появятся коды. Даже через хитрое залипание клавиш мне не удалось запустить regedit или explorer.

Пришлось подключаться к машине по TELNET. Это не для рядовых юзеров, но возможно я напишу мануал по телнету, когда-нибудь.

Соединившись с машиной черезз TELNET командой TASKLIST просмотрел список процессов. И естественно заметил там video_13796.avi.exe. Командой TASKKILL убил гада.

Остался на рабочем столе один IE. Закрыл.

Посмотрев msconfig я раслабился, так как вирус даже не скрывал свое имя. Я думал он не полезет в автозагрузку, ан нет. Перезагрузил машину, а он снова там. Также телнетом снес его, удалил файл и вижу голубой экран без элементов рабочего стола. Диспетчер задач также заблокирован администратором, и эксплорер тоже не стартанул.

Запускаем редактор реестра и приходим в шок. Эта сучара не просто добавляет себя к explorer.exe в ключик (HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\) Shell. А заменяет его. Видно на скрине внизу.

Для лечения компа следует сделать пару манипуляций с реестром.

1. Включить диспетчер задач.

2. Восстанвоить ключ (HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\) Shell в исходное состояние. Вместо пути к вирусу,там должен быть путь к вайлу explorer.exe. В моем случае C:\windows\explorer.exe. И все будет работать.

Автор вируса мудак. Рядовые юзеры поголовно переставляют винды, это же не наш метод.

Комментарии

Комментарий от deaddy64 [ Июнь 4, 2010, 09:17 ]

Здравствуйте.
А ваши пользователи случайно не с правами «локального администратора» работают? Может если бы у них не было таких прав, последствия были бы по-легче?

Комментарий от admin [ Июнь 4, 2010, 10:40 ]

Пользователи работаю с правами Domain Users. И этих прав достаточно чтобы запустить EXE файл и внести правку в реест.

Комментарий от FaustIV [ Июнь 4, 2010, 15:09 ]

Грохнул такой используя ERD всётаки им проще и быстрее чем через телнет ковыряться.Ну а вообще смешной вирус, клиент когда принёс даже не знал что мне сказать))

Комментарий от deaddy64 [ Июнь 5, 2010, 19:43 ]

Хм… С такими правами можно изменять только свою ветку (HKCU). HKLM доступна только для чтения. Посмотрите разрешения на ветки в regedit.

Комментарий от Владимир [ Июнь 5, 2010, 22:16 ]

Ставили и на 3 месяца и вперед и назад, и на два года вперед ставили, одна херня! Удалили с помощью какой-то утилиты — она типа винды, но устанавливается в оперативную память за две минуты. файл вируса прям на рабочем столе был! все удалили, теперь на рабочем столе одна картинка, значков нет, пуск не работает, диспетчер задач отключен. Ищу варианты исправления ситуации)))

Комментарий от admin [ Июнь 6, 2010, 14:15 ]

нужно восстанвоить ключ (HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\) Shell в исходное состояние. Вместо пути к вирусу, там должен быть путь к вайлу explorer.exe. В моем случае C:\windows\explorer.exe. И все будет работать.

Комментарий от Илья [ Июнь 8, 2010, 10:55 ]

так все же расскажите как простому юзеру свалить этот вирус? тело вируса удалил с компа друга. теперь имею пустой рабочий стол, где ни чего не работает…

Комментарий от Nathamots [ Июнь 12, 2010, 03:02 ]

[img]http://s50.radikal.ru/i127/1006/a7/d5d68c220e56.jpg[/img]

[b]О Dr.Web CureIt![/b]

На Вашем ПК установлен другой антивирус, но вы сомневаетесь в его эффективности?

С помощью утилиты Dr.Web CureIt! без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер, и, в случае обнаружения вредоносных объектов, вылечить его.

[b]Как выяснить, инфицирован ли Ваш компьютер?[/b]

1. Скачайте Dr.Web CureIt!, сохранив утилиту на жесткий диск.
2. Запустите сохраненный файл на исполнение (дважды щелкните по нему левой кнопкой мышки).
3. Дождитесь окончания сканирования и изучите отчет о проверке. Вам нужны другие доказательства?:)

[b]Преимущества Dr.Web CureIt![/b]

Незаменимое средство для лечения персональных компьютеров и серверов под управлением MS Windows 95OSR2/98/Me/NT 4.0/2000/XP/2003/Vista/2008/Windows 7 от вирусов, руткитов, троянских программ, шпионского ПО и разного рода вредоносных объектов, которые не «увидел» Ваш антивирус.

* [color=Red]Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя. [/color]

[b]Как использовать Dr.Web CureIt!?[/b]

Загрузите Dr.Web CureIt!, запустите на исполнение и в открывшемся окне нажмите кнопку «Пуск». На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска. Если необходимо просканировать все или некоторые диски компьютера, выберите режим полной или выборочной проверки (в последнем случае выделите требуемые объекты для проверки) и нажмите кнопку «Начать проверку» у правого края окна сканера.

При сканировании зараженные файлы будут излечены, а неизлечимые – перемещены в карантин. По окончании проверки остаются доступны файл отчета и сам карантин.

По окончании сканирования просто удалите файл Dr.Web CureIt! с Вашего ПК.

http://letitbit.net/download/9113.9539158a67d0c64f0f83a2ddf/drweb.cureit.exe.html

Комментарий от maf [ Июнь 13, 2010, 14:37 ]

Код там забавный :))
«Нет гомосекам»

Комментарий от JS [ Июнь 17, 2010, 00:17 ]

Огромнейшее спосибо за помощь! Только воспользовался не Telnet`ом, а LiveCD и сразу же пошел в реестр компа на HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon в Shell увидел этот файл video_13796.avi.exe и где он прячется на жестком, удалив, и восстановив ключ C:\windows\explorer.exe все заработало. Порномодуль был удален. Против каждого действия, есть противодействие.

Комментарий от shurick [ Июнь 20, 2010, 16:28 ]

Порномодуль… Слова-то какие. «Порномодуль» на месте, а ветку вы изменили, конечно. Админу спасибо, но с ERD реально быстрее. Старая проверенная вещь…

Комментарий от Аветис [ Июнь 20, 2010, 23:26 ]

Спасибо JS за подсказку. сегодня исправил такую гадость с помощью LiveCD. но в реестре надо вместо C:\windows\explorer.exe написать explorer.exe.
файл был на рабочем. назывался Vipporno-цифры-avi.exe

Комментарий от dLagor [ Июнь 27, 2010, 13:04 ]

Пасибо! помог код «головяшка»

Комментарий от Елена [ Июнь 28, 2010, 15:04 ]

Расскажите, пожалуйста, подробнее как в этой ситуации вернуть работу рабочего стола. У меня все тоже самое и рабочий стол работает только через диспетчер задач, я не понимаю что нужно делать с explorer.exe я не умею с этим реестром работать, ничег в нем не понимаю, можно пошагово, пожалуйста

Комментарий от Елена [ Июнь 28, 2010, 15:06 ]

У меня того как появился этот баннер запустился диспетсер задач, там я сделала выход из системы и после этого перезагрузила компьютер. А рабочий стол голбубой, мышь на нем не работает, ярлыков нет. Работаю только через диспетчер. Cureit вирусов не нашел. я не умею пользоваться этим реестром. пожалуйста, расскажите пожалуйста пошагово что где в нре менять.

Комментарий от aidari4 [ Июнь 30, 2010, 15:21 ]

да уж..позабавился я скодами……
http://support.kaspersky.ru/viruses/deblocker
тут номер вбиваете и выходит полно кодов! подошел самый первый по списку…..жалко только начал проверять с конца…)))

Комментарий от Елена [ Июль 1, 2010, 00:52 ]

Справилась. Сначала: если этот блокировщик появился, нажимаем ctrl-alt-delete в правом нижнем углу снять задачу, даже если блокировщик не дает вызвать диспетчер задач, буквально на секунду он появляется, повызывайте несколько раз, разглядите местоположение кнопки «снять задачу», наведите на эо место мышку, а потом снова нажмите ctrl-alt-delete и одновременно кликните мышкой на то место, где снять задачу. Баннер уйдет, но…

Комментарий от Елена [ Июль 1, 2010, 00:55 ]

голубой экран останется. Через диспетчер задач выходим в интернет и скачиваем cureit (доктор веб), запускаем сканирование, по идее он должен найти вирус, ставим лечить и все приходит в норму. Но у меня не обнаружил, поэтому, как указал автор, идем в Shell

Комментарий от Вячеслав [ Сентябрь 7, 2010, 01:14 ]

огромное спасибо, очень помог!!!

Комментарий от corvex [ Сентябрь 7, 2010, 10:29 ]

Спасибо помогло!
Как делал:
Загрузился с livecd windowsXP удалил файл вируса, он оказался файлом на рабочем столе с именем vip_porno_(буквыцифры).avi.exe нашел его поиском по дате — снес его

После перезагрузился, загрузка дальше рабочего стола не идет,никакие сочетания клавиш не работают.
ctrl+alt+del в том числе, говорит отключено администратором.
необходимо запустить regedit, и изменить запись в реестре.
Запустил regedit c помощью мастера нового оборудования, каким образом, нажав далее, затем обзор, правой кнопкой мыши по папке по любой папке нажал проводник(либо обзор) далее в папку C:\windows\regedit.exe
запускаем

HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon в Shell меняем путькфалу\video_13796.avi.exe на C:\windows\explorer.exe

появится рабочий стол, панель задач
но некоторые функцие такие как Диспетчер задач будет откллючен
необходимо зайти в regedit

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System];

Для выключения: «DisableTaskMgr»=dword:00000001;
Для включения: «DisableTaskMgr»=dword:00000000.

всем спасибо за помощь!!!»

Написать комментарий








Страницы

Свежие записи

Гугль

Мета

Счетчики


Rambler's Top100

Рубрики

  Разработка и дизайн — StvPromo.ru