порнобаннер

[Академик Иосиф]

Dms, я этих вирусов уже пару десятков разных убивал. Почти все вручную находил и удалял без реестра. А вот этот прокачанный какой-то попался.

[bsnox]

Академик Иосиф, Часто без реестра никак, заменяют например параметр winlogon и привет :)

[Dms]

Академик Иосиф, это тебе просто попадались такие, которые в автозагрузку пишутся )
Винда какая?

[Академик Иосиф]

ХР профессионал, Dms, кстати мне попадались и такие, которые explorer и userinit подменяли. Но во всех случаях убивал их через безрежим с комстрокой, а здесь он и туда уже попал.

[Академик Иосиф]

Кстати надо юзеринит проверить. С чего лучше заргузиться и вычислить эту заразу желательно в автоматическом режиме? Нет у меня ни желания ни времени долго копаться.

[Dms]

Академик Иосиф, похоже на подмену userinit все-таки.

[Академик Иосиф]

Попробую тогда юзеринит и эксплорер заодно восстановить, тогда отпишусь.

[isa67]

обычные баннеры удалить просто.
live cd xp, грузимся, реестр

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

находим, смотрим путь удаляем... (и незабываем почистить куки, и темпы)

баннеры которые сразу появляются после загрузки биоса удалить сложнее!
live cd xp, грузимся, после чего нам нужно восстановить MBR. который нам попортил троян.
можно попробовать утилиту: BOOTICE. или восстановить mbr вручную с диска с которого ставили ос.

[NovAndrey]

Заметил, что при посещении по ссылкам (в том числе и с этого форума) фотохостинга radikal, очень часто происходит замена стартовой страницы в опере и IE. Антивирус у меня эти изменения ловит и в принципе ничего страшного не происходит. Но сегодня столкнулся с такой проблемой (опять при переходе по ссылке на radical): произошла замена стартовой страницы, антивирус отменил эту замену, но теперь при открытии большинства различных страниц стало выскакивать небольшое окно, закрывающее угол основного, с различными ссылками, типа похудения, нового сообщения на одноклассниках и т.п. Проверил систему антивирусом, файл hosts тоже в порядке, в автозагрузке тоже ничего не было, временные файлы удалил, и никакого эффекта. Перелопатил несколько форумов по этой проблеме и вот что нашел. В свойства сетевого подключения (свойства Tcp/Ip) какая-то зараза переключила с автоматического получения адреса DNS сервера на другой адрес, не имеющий отношения к DNS (с него и грузился баннер). Такой же адрес нашелся и в реестре. Удалил и там и там, проблема исчезла. Может, кому-то это тоже поможет.

[Академик Иосиф]

Вчера добрался до проблемного компа. Зло прописалось в параметр shell. Оттуда нашел его на диске и грохнул вручную, параметр заменил на правильный.

[healer]

Заметил, что при посещении по ссылкам (в том числе и с этого форума) фотохостинга radikal, очень часто происходит замена стартовой страницы в опере и IE. Антивирус у меня эти изменения ловит и в принципе ничего страшного не происходит. Но сегодня столкнулся с такой проблемой (опять при переходе по ссылке на radical): произошла замена стартовой страницы, антивирус отменил эту замену, но теперь при открытии большинства различных страниц стало выскакивать небольшое окно, закрывающее угол основного, с различными ссылками, типа похудения, нового сообщения на одноклассниках и т.п. Проверил систему антивирусом, файл hosts тоже в порядке, в автозагрузке тоже ничего не было, временные файлы удалил, и никакого эффекта. Перелопатил несколько форумов по этой проблеме и вот что нашел. В свойства сетевого подключения (свойства Tcp/Ip) какая-то зараза переключила с автоматического получения адреса DNS сервера на другой адрес, не имеющий отношения к DNS (с него и грузился баннер). Такой же адрес нашелся и в реестре. Удалил и там и там, проблема исчезла. Может, кому-то это тоже поможет.

Ты больше под админом сиди, тогда не только свойства сетевого соединения подправят а еще и винты форматнут :blum:

[Вездесущий]

Зашифрованы все офисные файлы и фото, расширение *.xtbl. Помогите расшифровать файлы. Женщина сильно грустит. На рабочем столе, типо баннера - надпись: Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:
"код"
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."


Что-то в инете, кроме как отошли логи и файл Антивирусным монстрам и нет ничего..
Может кто решил задачу..??

[Академик Иосиф]

Вездесущий,

Разочарую Вас сразу что файлы зашифрованные через интернет 100% не расшифровываются.

звучит как-то печально

[Sceapt]

Академик Иосиф, ну почему, расшифруют, но месяца через 2 или 3... Если есть лицензионный антивирь, писать слезное письмо в техподдержку, проблема известная. Но и способы лечения уникальные. У меня на работе в рассылку все получили уведомление о пакости и что в случае заражения, виноваты будут они сами.

[Академик Иосиф]

Академик Иосиф, ну почему, расшифруют, но месяца через 2 или 3... Если есть лицензионный антивирь, писать слезное письмо в техподдержку, проблема известная. Но и способы лечения уникальные. У меня на работе в рассылку все получили уведомление о пакости и что в случае заражения, виноваты будут они сами.

ждать 3 месяца не всегда вариант

[and2595]

Если есть лицензионный антивирь, писать слезное письмо в техподдержку, проблема известная.

В прошлом году поддержка Dr.Web на жутко слёзное письмо ответила, что на данный момент помочь ничем не может, ждите может быть когда нибудь...

PS Единственными не зашифрованными файлами тогда остались те, что пользователь по ошибке сохранял в родном для libreoffice формате odt, ods и пр.

[lex78]

Зашифрованы все офисные файлы и фото, расширение *.xtbl. Помогите расшифровать файлы. Женщина сильно грустит. На рабочем столе, типо баннера - надпись: Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:
"код"
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."


Что-то в инете, кроме как отошли логи и файл Антивирусным монстрам и нет ничего..
Может кто решил задачу..??

Такая ситуация не впервой уже в Смоленске в последнее время. Там какой то серьезный вирус. Сам с компа удаляется. Парень знакомый рассказывал что даже в Касперском его толком еще не изучили и поймать не могут. В такой ситуации разблокировали быстро- после оплаты 5 тыс рублей. Заражение происходило при открытии служебного письма у доверенного пользователя. Тоже страдали документы и фото. Теперь решили делать резервные копии на внешний накопитель.

[Dejmos]

Заражение происходило при открытии служебного письма у доверенного пользователя. Тоже страдали документы и фото. Теперь решили делать резервные копии на внешний накопитель.

Ну и ладно, придурков надо учить.
А вообще крипторы сейчас пользуются алгоритмами с открытыми ключами, которые фиг взломаешь. Тут только платить (без каких-либо гарантий, конечно же). Иногда может и повезти если под ваш вариант кто-то уже получил ключ и поделился им с народом, но это большая редкость.

[pinkmouse]

лохи.... епрсь

[Sceapt]

pinkmouse, да не всегда, но бывает... у людей 3 раза от компа к компу переходили в бухгалтерии, пытались файлик открыть

[Sceapt]

Если есть лицензионный антивирь, писать слезное письмо в техподдержку, проблема известная.

В прошлом году поддержка Dr.Web на жутко слёзное письмо ответила, что на данный момент помочь ничем не может, ждите может быть когда нибудь...

PS Единственными не зашифрованными файлами тогда остались те, что пользователь по ошибке сохранял в родном для libreoffice формате odt, ods и пр.

По этому вирусу отвечают, причем как раз Веб быстрее всех. Наверняка сами же написали :)

[Storm]

Dejmos,

Иногда может и повезти если под ваш вариант кто-то уже получил ключ и поделился им с народом, но это большая редкость.

Получают файл дешифровщик, а не ключ. Выделить ключ из файла, даже если он там не зашифрован простой пользователь не сможет. Ключей для шифровки в вирусе может быть не один. Так что всё плохо :)