[Drongo]

e_consul, Отличная статья! Оставляю потомкам!

[e_consul]

Только-только написал статью. В ней написал, что нет пока баннеров под Windows 7... И вот, сегодня 2 компьютера с Windows 7 и с порнобаннерами. Внесу уточнения

[ShaddyR]

e_consul, путёво.

Цитата:

Еще есть такие замечательные сайты как http://forum.oszone.net или http://virusnet.info/. Там Вам с удовольствием помогут, если Вы выполните их требования.

звучит стрёмно: такое чувство, что требование - нечто типа "для помощи в лечении от смс-баннера отправьте смс на номер ххх-хх-ххх или перечислите н-ную сумму на веб-кошель номер ууууууу, а также бросьте пить, курить и материться"

Кста, для самых простых случаев - когда попрошайка просто мешает работать, закрывая экран, но окна открываются:

• открываем ворд, пишем чего угодно
• инициируем завершение работы системы, идем в ворд
• на запрос сохранения изменений отвечаем ОТМЕНА.
• имеем завершение работі всех процессов в системе, кроме ворда. Всех, включая попрошайку. Дальше - по статье, разве что перезагружать в безопасный режим не требуется

[Drongo]

ShaddyR, Ты гений!

[Morpheus]

Соседа приняли в гей-клуб или как я боролся с смс-вымогателем...

Пару дней назад меня разбудил сосед в 7 утра: - я вчера вечером нажал на ссылку, теперь у меня мужики на экране трахаются.
Ок, забираю ящик к себе и начинаю разбираться.
Вместо загрузки профиля и появления рабочего стола меня поджидало сообщение "...Отправьте 300 с чем-то рублей на номер +79672865841" а под ним ещё одно: "Если вы хотите убрать сообщение немедленно - отправьте 41000<+пара квадратов> на 3381" и это "великолепие" на фоне открытого IE с гей-картинками и адресом xyecoc.net (уж простите, из песни слов не выкинешь).
Работала только клавиатура (даже грызун отвалился), ни на что кроме ввода букв и Enter она не реагировала. При попытке загрузки в безопасный режим - машина уходила в ребут. Никакие рансомхайды включить было невозможно. Попробовал колотить коды разблокировки с сайтов каспера и веббера - не прокатило.
Попытался воспользоваться флехой с LiveCD - соседская материнка наотрез отказалась её воспринимать.
Ладно, вытаскиваю винт и цепляю к своей машине. CureIT находит 3 трояна и благополучно их прибивает. Windows по-прежнему не грузится. Без лишнего сожаления переставляю систему (она там с 2005 года жила и давно нуждалась в обновлении). Сосед радуется жизни...

Вчера утром он мне опять звонит: - "я... это... вопщем... короче... всё снова".
Багровею (на переустановку и всякие там обновления ушли почти сутки...)
Забираю системник, включаю. Да, всё то же самое, только сообщение немного изменилось:

теперь номер: 89031602769 и сумма подросла.
Опять прицепил HDD к своей машине (прицепился как "I"), качнул RegeditPE и стал проверять:
1. Автозагрузка - чисто.
2.

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = C:\Windows\system32\userinit.exe,

- чисто.
3.

Цитата:

В этой же веточке реестра, немного выше есть ключ shell. Его значение должно быть Explorer.exe и никакое другое.

- опа, здрасте, вот оно:

меняю значение на explorer.exe и перегружаю машину - усё нормально, система загрузилась.

e_consul, спасибо за статью!

З.Ы. Папку 42Z20HDD зарарил, если кто хочет поковыряться - пишите, вышлю. В ней много картинок и вот такая ерунда:

[ispolin]

Morpheus,
мда...это говорит о самой элементарной вещи
простая чистка темповых папок из под лайв сиди могла устранить проблему

[Morpheus]

ispolin, неа, после проверки CureIt я полностью снёс всё содержимое Temporary Internet Files - винда не грузилась, да и как, если она не знает, что надо explorer загружать?

З.Ы. Забыл сказать, что лицензионный KIS 2010 молчал как рыба об лёд...

[ShaddyR]

Цитата Morpheus:

лицензионный KIS 2010 молчал как рыба об лёд.. »

а проактивная защита и мониторинг системного реестра - включены?

[Morpheus]

ShaddyR, все настройки по умолчанию. Никто специально ничего не включал/не выключал.