доброго времени суток.

Давно не боролся с троянами. и вот случилось. Что в нем мне не привычно, а то что надо не отправлять код смс-кой, а пополнить счет и ввести код операции, сумму, и терминал.

попробовал поискать на dr.web предлагает 2 раза ввести "11111", но чего то не помогло, а попыток всего 10 (осталось 7). Предполагаемый вирус Trojan.winlock.2787

Есть мысли по уничтожению данной гадости?

поиском пользоваться умеешь, я писал как это сделать без антивируса

http://virusinfo.info

Лайф сд загружаеся чистиш реестр удаляеш вирус.

кто такой "винлогер"?

(4) Это процесс такой - сидит  и пишет логи))

(5) запускаем антивинлогер и все )

откуда вы их берёте ?

на порно

+(8) к (0): порно надо не смотреть, порно надо заниматься... :-)))

(0) Поиском умеешь пользоваться?

0) Если WIN+R живо тогда все ОК .
1).Иначе берем установочный диск вин 7 и загружаемся с него. Там выбираем Востановить и в меню восстановления выходим на командную строку. В ней REGEDIT.
В редакторе реестра делаем подключить куст реестра , который ищем в c:\windows\systen32\config . Там интересует файл Software. Перед подключением делаем его копию прямо в диалоге открытия (CTRL+C CTRL+V).

2). Далее ищем параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

там параметр
Userinit"="C:\\WINDOWS\\system32\\userinit.exe
и "Shell"="Explorer.exe"

Значения должны быть именно такие а не ссылки на какой то мусор. Правим на правильные значение и делаем ВЫГРУЗКУ КУСТА.

Если блокиратор не рубит запуск REGEDIT то делаем все то же с значениями параметров через REGEDIT.

Перегружаем комп и наслаждаемся убитым блокером.

винлокер ))

в догонку C:\WINDOWS\system32\userinit.exe
пути в редакторе с одинарным слешем надо ставить.

(11) Ни фига такое не помогает. У меня вчера вечеорм выскочило такое. Все там в этих кустах в порядке.

Позавчера не хотелось вордовский документ по почте отправлять, решил сделать PDF, скачал первый попавшийся конвертор. Подозреваю его. До этого ни с какими вирусами и локерами годами не сталкивался.

Поднял новую систему на втором винте

(14) Тогда все проще , через диалог экспорта - просто глядим папки автозагрузок и все. Там хлам. Недостаток - по умолчанию скрытые файлы не кажет. Тогда вполне пойдет drweb Live Cd. Именно для просмотра папок. Лечение им ни к чему хорошему не приводило никогда. После лечения винда просто помирала. Сейчас понимаю по причине того что прибивались файлы системы в которых начал жить вирус но без которых система не жила.

мне удалось его закрыть и убить. Винда была хр, на этапе загрузки если нажимать кнопку win то иногда мигает проводник, за короткий промежуток времени нужно успеть щелкнуть правой по этой программе и закрыть ее в контекстном меню, потом чистить реестр и удалять файлы - например у меня был левый файл usrinit в system32. lock to all вроде называется эта программа.

Данный REG файл предотвращает запуск содержимого флешки при двойном щелчке по ней. После того как выполнил на компах - проблема почти ушла с вирусами.


REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Если какой не убиваемый зловредный процесс висит в списке его можно прибить программой KillBox.exe Она объединяет в себе унлокер и удаление выбранного файла. Это уже к немного другой группе вирусов относится. Я пол вечера с одним бился пока не доехал. Был процесс в памяти Ati2AVXX , думал драйвер видеакарты - оказалось вирус. Прибить его не мог ни как он тут же стартовал. Прибил с помощью вышеозначенной программы.

(14) ключи Run у юзера и системы смотрел?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключи: Shell, UIHost, Userinit, VmApplet?
также на всякий случай проверь
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

и ещё (самое интересное, редко встречается):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

а ещё бывают звери в папке system32\drivers, грузанись с лайва и проверь систему, короче

(17) Да, так и есть NOD при сканировании старого системного диска удалил троян из папки автозагрузки.
Только вот старая Винда все равно не стала загружаться - просто черный экран и усё...
Ну да ладно, я только закладки Оперы скопировал да и все. С детсва на системном диске не приучен ничего держать.

+(19) чтобы уж раскрыть тему, контрольный в голову =)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""


и ещё надо поставить хотфикс от мелкософта на тему автоплея

(18) Подмените файл userInit32 на файл с дистрибутива или здорового компа. Опять же под Барт ПЕ установки 7ки. Флешки он монтирует без проблем.

Думаю для разнообразия поставить Windows7, тем более что у меня есть халявная лицензия от моей конторы.

Имею AMD64Х2 5200 и 2 гига памяти. Вот думаю, стоит ли прикупить еще 2 гига, пока DDR2 еще продается и не очень дорого, или и так сойдет?

Сори за небольшой офтоп

http://exler.ru/likbez/19-01-2011.htm

Дома на буке не стоит никаких антивирусов больше года все ОК

(27) бук под линем?

вчера веселое было, блондинка знакомая в аську жалуется, что у нее смс компьютер просит.
Ну, думаю, пару часов секса с компьютером обеспечено. А может и переустановка.
Сегодня сообщение: "я его победила!". Думаю, опять кого-то завалила, зверюга. Хрен там - она локер заборола сама.
Вот тебе и блондинки..

(28) ХП хоме едишен, пр покупке нортон стоял триальный, через полгода кончился. Пока все норм. Всякое файло конечно не запускаю и автостарт флешки отключен и под урезанными правами в нете сижу.

(30) дак тогда ты просто не знаешь, кто у тебя живёт. на глаза не попадается и ладно
(29) чем она его, тапком? ;-)

(31) Ну смс локеров точно нет ;)

(32) я и говорю: на глаза не попадаются ;-)

(30) Поставь каспера, там триал на 30 дней идет.

(34) Каспера на работе за глаза хватает, половина мощи компа на него тратится, а дома нетбук на атоме, придется комп менять, чтобы касперу мощи хватило ;)

(35) ставь Веба, на журнальных ключах можно долго тянуть, и крутится шустрее, не то что Каспер

+(36) ну или на крайняк Авиру, какая-никакая, а всё ж защита

закладка, методы борьбы пригодятся )

Уважаемые Производители заставочных вирусов, пишите пожалуйста цену поболее 300 рублей на своих заставках, а то мне стыдно брать больше за удаление Ваших творений (с) баш

(0) Дай посмотреть!

(39) Я вообще сто рублей беру если по телефону не получается.

башкой бы вас да в дерьмо - всех

Дегенераты.. чуть пивом не подавился!

(39) +1)))