Порно-Информеры, Способы избавления от этой заразной напасти Опции

[Captain Vzhik]

Как удалить Winlock своими силами!

Деблокер Касперского

Форум Касперского

Деблокер Dr.Web

Форум dr.Web

Возможно свой код найдете здесь

Dr.Web® LiveCD (18.01.2011), зеркало

dr.WebCureit (13.01.2011), зеркало

Сообщение отредактировал Kluch - 27.1.2011, 18:35

[vladD=]

Попробуйте следующие коды разблокировки:
dfvgbh789

[Kluch]

мне бы 100% решение проблемы

код
relby1234

Trojan. Winlock 2925 -самый новый из существующих..
на деблокере др.Веба этот банер уже есть!

Сообщение отредактировал Kluch - 7.2.2011, 19:01

[Captain Vzhik]

Свежий банер, предлагает пополнить счет номера, при каждой перезагрузке номер новый.
Коды выложенные на сайтах-деблокерах не подходят.
Свежие базы антивирусов тоже не "видят".
Лежали кучкой на рабочем столе в папке Администратор.
После запуска этих банеров, их удаления с помощью загрузки с другой ОС, первоначальная ОС загружается, но кроме фона раб. стола ничего нет.
Проблему рабочего стола можно решить с помощью файла-скрипта, который прикреплен к данному сообщению (архив).
Сами вирусы в виде файлов .exe отправил разработчикам NOD32.
Вот список названии (могут отличаться):
nullO.6410580396937489.exe
nullO.7676081264633395.exe
nullO.18797384708625875.exe
nullO.21990624092089783.exe
nullO.027735227381889604.exe


Сообщение отредактировал Captain Vzhik - 12.3.2011, 19:59

[СВЯТОЙ]

есть простейший способ борьбы с винлокерами
на рабочей системе в диспетчере задач поставить галочку ПО ВЕРХ ОКОН
и всё!
теперь можно ни боятся.
если да же поймав винлокер, который заблокирует вам рабочий стол.
тремя волшебными клавишами (контрл-альт-делит) вы вызовите диспетчер задач, который будет по верх этого долбаного экрана с просьбой отправить смс (или другим предложением)
где вы легко удалите процесс винлока, тем самым разблокировав ваш рабочий стол для дольнейшей проверки системы антивирем и удалением этой нечести.
просто не ленитесь поставить всего лишь одну ГАЛОЧКУ

[Ran_Kerui]

это опция вроде и так по дефаулту стоит?

[Captain Vzhik]

Ента галочка не помогает!
Винлокер просто глушит работу диспетчера задач.

P.S. Правда я говорю о Win XP. В Win 7 еще не пробовал, могу проверить (и тебе тот архивчик с банерами отправить, если надо).

это опция вроде и так по дефаулту стоит?

Да, по-умочанию стоит, причем независимо от версии ОС: XP или 7, если сборка чистая.
А вот есси какая нить сборка типа Zver ...
Там что угодно может стоять и как угодно может быть настроено.

Еще добавлю, недавно мне посоветовали попользоваться бесплатным персональным файерволом Comodo Firewall.
Сказали, что там якобы есть какая то интересная опция по поводу убийства банеров.
Никто не пробовал, можете поделиться впечатлениями?
Я конечно попробую, но могу что то пропустить, потому отпишитесь, кто пробовал...

Сообщение отредактировал Captain Vzhik - 12.3.2011, 19:45

[Captain Vzhik]

Ента галочка не помогает!
Винлокер просто глушит работу диспетчера задач.

P.S. Правда я говорю о Win XP. В Win 7 еще не пробовал, могу проверить (и тебе тот архивчик с банерами отправить, если надо).
Да, по-умочанию стоит, причем независимо от версии ОС: XP или 7, если сборка чистая.
А вот есси какая нить сборка типа Zver ...
Там что угодно может стоять и как угодно может быть настроено.

Попробовал, но перед этим проверил ту самую галочку - она по умолчанию установлена.
Получилось вот что: найденный сегодня мною банер в Win 7 не глушит работу диспетчера задач, но и поверх себя отображаться не дает.
В процессах видно имя файла, который запустил банер, но убивать не дает.
Щас буду проводить опыты с Comodo...........

Сообщение отредактировал Captain Vzhik - 12.3.2011, 23:14

[kotby]

Абсолютно ЛЮБОЙ баннер, при наличии прямых рук, можно удалить по этой инструкции
http://forum.kaspersky.com/index.php?showtopic=199377

[Captain Vzhik]

Абсолютно ЛЮБОЙ баннер, при наличии прямых рук, можно удалить по этой инструкции
http://forum.kaspersky.com/index.php?showtopic=199377

Клево!

1. Если появился банер, вставляем заранее записанный образ Win7PE_uVS.iso (210Mb) - разместил на files.kazani.net, то есть если нет внешки - можно скачать...
2. Срабатывает автозапуск, выскакивает окно, в котором нужно нажать кнопку
"Запустить с ЧИСТЫМ раб. столом (под текущим пользователем)".
БОЛЬШЕ НИЧЕГО НЕ ТРОГАЕМ!!!
3. Выскакивает новое окно, внизу ждем заполнения "синей полосы", появляются некие списки.
НИЧЕГО НЕ ТРОГАЕМ!!!
4. В шапке программы (вверху) выбираем "Дополнительно" - "Твики" или нажимаем "Alt+t"
5. Жмем кнопку "12. Сброс ключей Winlogon в начальное состояние"
6. Закрываем все окна этой программы и работам дальше!
Даже после перезагрузки компа ничего не появляется.

Но в качестве дополнения после пункта 3. идем в
"Дополнительно" - "Очистить корзину и каталоги профилей пользователей от временных файлов".
Во временных файлах тоже могут сидеть исполняющие файлы банеров.
Ну и не забудьте обновить базу антивируса и проверить систему на наличие вирусов.

Ну а если такой способ не помог, тогда нужно:

1. Загрузиться с этого же диска Win7PE_uVS.iso (210Mb) - разместил на files.kazani.net, то есть если нет внешки - можно скачать...
2. С помощью Total Comander скопировать папку uVS с загрузочного диска в корень диска C:\,
3. Зайти в уже скопированную папку, запустить файл start.exe
4. В появившимся меню обязательно выбираем каталог C:\Windows (где установлена Ваша система), после чего жмем "Запустить под текущим пользователем"
5. В шапке программы (вверху) выбираем "Дополнительно" - "Твики" или нажимаем "Alt+t"
6. Жмем кнопку "12. Сброс ключей Winlogon в начальное состояние"
7. В качестве дополнения после пункта 4. идем в
"Дополнительно" - "Очистить корзину и каталоги профилей пользователей от временных файлов".
Во временных файлах тоже могут сидеть исполняющие файлы банеров.
8. Перезагружаемся, вытаскиваем диск и работаем дальше!

P.S. По просьбам трудящихся выкладываю этот же образ в архиве, поделенном на 3 части:
Часть 1
Часть 2
Часть 3

Сообщение отредактировал Captain Vzhik - 17.3.2011, 12:19

[Ran_Kerui]

а как там комодо? с 3 кажется верси перестал пользоваться, на тот комп стала слишком грузной заменил на Look'n'Stop вполне достойный файрвал

[Captain Vzhik]

Попробовал его. При запуске банера выскакивает предупреждение о том, что че то левое запускается, но если пропустить - все, ты попал..
Мне говорили, что в ентом Comodo якобы есть свой собственный диспетчер задач, но я его там не обнаружил...
В общем последний способ реально пока рулит!
Не знаю, какие еще смогут придумать банеры, которые последний способ не сможет помочь...

[Ran_Kerui]

нда не слишком надежно :(

[Avantage]

Стоит комодо уже пол года фаервол и проактивная защита,нет большой нагрузки и не поймал ни 1 зверька и баннера, + есть sandbox-песочница очень полезная вещь при подозрительных файлах и т.п.Имхо не фиг качать всякий говно софт и кряки с юкоз сайтов,только с офф. и проверенных сайтов.Впомощь вирустотал и онлайн sandboxы.
Пересаживайтесь на linux там почти все open source и бесплатно,можно забыть про всякие вирусы баннеры(вирусы есть,но их наверно по пальцам пересчитать можно),ибо без прав root они сосут грубо говоря,а iptables вообще вещь замечательная.

Сообщение отредактировал Avantage - 17.3.2011, 14:20

[Captain Vzhik]

Имхо не фиг качать всякий говно софт и кряки с юкоз сайтов,только с офф. и проверенных сайтов.

Ну во-первых попробуй это втолковать начинающим юзерам - в инете столько интересного!
А во-вторых эти банеры могут залезть даже без вашего ведома, просто открыв какую то страничку.
Для примеры убивал банер, который поймали после посещения строительного форума, на котором тусуются серьезные люди и помогают друг другу советами при ведении или организации какого-либо бизнеса.
Хозяева форума после жалоб об заражении сайта, признались, что да, было дело, но они в этом не были виноваты (естественно).

[Avantage]

Ну во-первых попробуй это втолковать начинающим юзерам - в инете столько интересного!
А во-вторых эти банеры могут залезть даже без вашего ведома, просто открыв какую то страничку.
Для примеры убивал банер, который поймали после посещения строительного форума, на котором тусуются серьезные люди и помогают друг другу советами при ведении или организации какого-либо бизнеса.
Хозяева форума после жалоб об заражении сайта, признались, что да, было дело, но они в этом не были виноваты (естественно).

Как мне объяснили это делается с помощью подгружаемых скриптов,антивири должны их ловить,да и моем фаерфоксе есть такой интересный плагин Noscript.

[Captain Vzhik]

Правильно сказали, но антивири (абсолютно любые) могут про него еще не знать, если банер только-только появился. Потому навряд ли отловят в первый же день рождения банера..
А вот через 2-3 дня вполне, а может быть у чуток раньше...
Все зависит от разработчиков антивирусных баз и их своевременного обновления юзерами на своих компах.

Сообщение отредактировал Captain Vzhik - 17.3.2011, 15:05

[Ran_Kerui]

да, сандбокс и сшадов дефендер юзаю, рады бы на линукс, к тому же его модификации с гуи сейчас хорошо довели, вполне можно работать, ток проблема много прог те что юзаю, не существуют под линкусоидами, а эмуляторы юзать ком не слишком позволяет, сейчас конечно комп не 1 пентиум, но всё же

сшадов нравится даже больше, определил области доступные для модификации, включаешь теневую защиту и не паришься

[Heat]

Клево!

1. Если появился банер, вставляем заранее записанный образ Win7PE_uVS.iso (210Mb).........

для лечения XP пойдет ? или это только для семерки

Сообщение отредактировал Captain Vzhik - 21.3.2011, 21:25

[Captain Vzhik]

Даже для MS-DOS подойдет!

Сообщение отредактировал Captain Vzhik - 21.3.2011, 21:13

[kotby]

Не знаю, какие еще смогут придумать банеры, которые последний способ не сможет помочь...

Неделю назад попался такой. Из списка автозагрузки все удалил но вирус остался. Пришлось заново грузиться и выбирать в правой части скрытые объекты автозагрузки ( или что то подобное - точно не вспомню! )
Вот видеоурок там немного по другому делают - http://www.youtube.com/watch?v=Awe1JoSF9c8
А по поводу комодо тоже ничего ни плохого ни хорошего сказать не могу. Я тоже запускал баннер он у меня раз 5 спросил чувак мол ты че это же вирус ты точно хочешь запустить? Но в итоге все равно запускает. )) Подкупает только бесплатность. Но клиентам все равно ставлю что нибудь попроще. Слишком уж он сложный для неопытных юзеров. Решил снести его и вернулся на Kaspersky Small Office Security.

Сообщение отредактировал kotby - 24.3.2011, 13:58