Как избавиться от навязчивого баннера, требующего отправить SMS

Сегодня еще один баннерок попался:

• Просит аж 600 руб на номер 89643901607
• Или СМС с текстом 79643901607 600 на номер 84444
• Или СМС с текстом 79643901607 600 на номер 3116
• Довольно таки неприятный баннер, я его тестил в песочнице, защита пробита напрочь, но снялся через обыкновенный диспетчер...

• ...но если сразу перезагрузить, блокировка полная.....
• ....во временной папке он сохранился под именем calc.exe. С иконкой винрара, и описанием экзешника как у винрара.
• После запуска файл в директории %WINROOT% создает батник (RUNDLL.bat) и исполняемый файл (копия calc.exe, но на этот раз с именем nvcvc32.exe), В качестве шелла указывает explorer.exe и передает ему в качестве аргумента путь к rundll.bat.

• Метол избавления:
• Через диспетчер задач снимаем баннер ( это если сразу не перезагрузились)
• Далее в редакторе реестра правим параметр Sell
• Удаляем RUNDLL.bat и исполняемый файл nvcvc32.exe из папки Windows
• Удаляем исходник calc.exe ( он имеет значек архива) из временной Temp или из Temporary Internet Files ( это у кого куда прописался)
• Перезагрузка и радости полные штаны.......
• Вот кому для экспериментов архив ( в нем исходник calc.exe ( косящий под архив)+ батник RUNDLL.bat+ исполняемый файл nvcvc32.exe ( обращаю внимание, что файлы RUNDLL.bat и nvcvc32.exe - СКРЫТЫЕ)
• ссылка http://zalil.ru/30789623 пароль на скачку 2011
• Отпишитесь кто попробует может у кого другие мысли по избавлению

• У кого сидит баннер стучите в асю 602539985 помогу

• И еще один:
• Просит 500 руб. на номер 89037082426 ( при перезагрузке номера меняются)
• Имя файла ххх_video_20065.avi.exe

• Этот так же пробил Sandboxie, диспетчер запускается, но за баннером бессилен чем либо нам помочь....

• Так же можем запустить и главное меню, но.........толку ноль.....

• Поэтому со злости я запускаю Process Killer нажав на клавиши <Ctrl>+<Shift>+<~> и.......Enter........УСЁ-баннера как не бывало.

• Что и требовалось доказать!
• Вот сам баннер http://zalil.ru/30785983 пароль на скачку 2011
• У кого сидит баннер стучите в асю 602539985 помогу!

• И еще один, так сказать - для наглядного примера.........
• Называется "Остановите это безобразие"
• Его не у кого нет!!!! да и мне попался случайно...
• Касперский и Веб так же его не знают...во всяком случае у них на сайте такого нет, да и не будет, он так сказать для наглядного примера...

• Такой полупрозрачный блокер.....
• Причем кое что запускается, но за ним..... и ничего сделать нельзя.....
• Правда на несколько секунд я его убирал программой Process Killer, но она так же бессильна.....
• Скажу одно, в папке Windows он создает Usrinit.exe и соответственно в реестре прописывается в Winlogon
• В архиве текстовый документ, в нем шифр вируса.
• Пароль разблокировки на самом баннере....
• Пробуйте любители экстрима и те у кого это так сказать хобби.... ...как у меня...
• http://zalil.ru/30790143 пароль на скачку как и прежде 2011

Привет. Описываю ситуацию. Вчера весь день играл в контру по нету. Антивирус был отключён за экономией ресурсов, т.к. комп старенький (стоит ХР) вечерком вышел в нет на пару минут, залезал на первые 3 сайта по поиску в яндексе: как настроить skype. И всё. Сегодня утром при включении вылез тот самый банер poporno.net с тремя сисястыми телками, (положи 300 рублей на номер 8-916-603-41-14), и как на зло родаки спалили. Причем обидно что на этой неделе на порно сайты не попадал - это точно. Хорошо за пазухой есть пара бут сиди. Между прочим Curiet Dr Webовский его не видит. У меня вопрос: мог ли я подхватить банер в контре при загрузке новой карты? * Спасибо борцам с вирусней за тему и советы. Здоровья вам :)

Такани Мегуми 23.01.2011 18:55:

zaruta 23.01.2011 02:10:

zotych 23.01.2011 01:40:
народ кто реально поможет убрать этот гребаный информер,Б..ЛЯ с меня шашлык,номер на который просят положить 8-985-960-73-62. Блокирует СУка все и даже в без.реж.не идет LIVE CD Dr.WEB тоже не смог,че делать?

• Начнем!
• Эти красавицы?

• Грузимся с LIVE CD или ERD COMMANDER ( любой - это не важно)
• В редакторе реестра ищем ветку :Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon подробно тут: http://www.fayloobmennik.net/...
• В значении Shell будет такой путь: С:\Program Files\Common Files\Mail\svhost.exe
• Меняем значение Shell на - explorer.exe
• Идём: С:\Program Files\Common Files\Agent\svhost.exe и удаляем папку \Agent
• Из автозапуска убраем и удаляем с ПК pkiller.exe и pkill.exe если они есть у Вас.
• Перезагружаемся-видим пустой рабочий стол.
• Далее ....3 горячих клавиши ..Ctrl+Shift+Del.....вызов диспетчера......запускаем AVZ ( но для этого нужно эту программу иметь на компе или скачать, ссылка в шапке форума), выполняем: файл-->>восстановление системы, ставим галочки в пунктах 9 (удаление отладчиков), 16 (восстановление запуска Explorer), 17 (разблокировка редактора реестра)
• Радуемся и дальше смотрим голых баб, а потом всё заново!
• PS; Если не затруднит отправте мне файл svhost.exe в архиве.

вооот эта проблема. нашла в начале ссылку на документ... по нему скачала программу... но запустить через биос сд не могу не получается.. скорее я не знаю как

zaruta 23.01.2011 02:10:

zotych 23.01.2011 01:40:
народ кто реально поможет убрать этот гребаный информер,Б..ЛЯ с меня шашлык,номер на который просят положить 8-985-960-73-62. Блокирует СУка все и даже в без.реж.не идет LIVE CD Dr.WEB тоже не смог,че делать?

• Начнем!
• Эти красавицы?

• Грузимся с LIVE CD или ERD COMMANDER ( любой - это не важно)
• В редакторе реестра ищем ветку :Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon подробно тут: http://www.fayloobmennik.net/...
• В значении Shell будет такой путь: С:\Program Files\Common Files\Mail\svhost.exe
• Меняем значение Shell на - explorer.exe
• Идём: С:\Program Files\Common Files\Agent\svhost.exe и удаляем папку \Agent
• Из автозапуска убраем и удаляем с ПК pkiller.exe и pkill.exe если они есть у Вас.
• Перезагружаемся-видим пустой рабочий стол.
• Далее ....3 горячих клавиши ..Ctrl+Shift+Del.....вызов диспетчера......запускаем AVZ ( но для этого нужно эту программу иметь на компе или скачать, ссылка в шапке форума), выполняем: файл-->>восстановление системы, ставим галочки в пунктах 9 (удаление отладчиков), 16 (восстановление запуска Explorer), 17 (разблокировка редактора реестра)
• Радуемся и дальше смотрим голых баб, а потом всё заново!
• PS; Если не затруднит отправте мне файл svhost.exe в архиве.

Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.

Ray9 03.04.2011 23:28:

Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.

• Это довольно таки сложный баннер, но ERD должен был запуститься, видимо у вас диск с браком или поцарапан....

zaruta 03.04.2011 23:47:

Ray9 03.04.2011 23:28:

Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.

• Это довольно таки сложный баннер, но ERD должен был запуститься, видимо у вас диск с браком или поцарапан....

Когда один клиент подцепил баннер что-то типа такого:

У меня с диска тоже не запустился ERD. Не помню, что конкретно было. Может синий экран смерти, может просто завис и не грузился. Попробовал ERD с флешки запустить и пошло Может вирусы как-то влияют

zaruta 03.04.2011 23:47:
Это довольно таки сложный баннер, но ERD должен был запуститься, видимо у вас диск с браком или поцарапан....

Если выскакивает синий экран смерти, тогда вряд ли это из-за диска.

Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.

В принципе можете запустить МиднайтКомандер (в Dr.Web Livecd) и поискать его ручками. Эти винлоки как правило садятся в папку

C:\Program Files\Common Files\(далее могут быть такие папки Agent,Viewer,Qip,Inf,Help,Media,Offline Web Pages,addins,classic)

Имя у него как правило

svhost.exe smss.exe xxx_video.exe svhost.txt.exe gzynepitcoxsxrhn[1].exe

Вот видио....надеюсь будет нормально показывать

http://rghost.ru/5024942

Может вирусы как-то влияют

нет,вирусы не влияют...загрузка с сд идет раньше чем грузится Винда

grinopas 04.04.2011 00:38:

zaruta 03.04.2011 23:47:

Ray9 03.04.2011 23:28:

Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.

• Это довольно таки сложный баннер, но ERD должен был запуститься, видимо у вас диск с браком или поцарапан....

Когда один клиент подцепил баннер что-то типа такого:

У меня с диска тоже не запустился ERD. Не помню, что конкретно было. Может синий экран смерти, может просто завис и не грузился. Попробовал ERD с флешки запустить и пошло Может вирусы как-то влияют

dfvgbh789

У меня сидел в C:\Program Files\Common Files\Registration и назывался svhost.exe. В этой папке ещё был текстовый документ то л и svhost.txt, либо Registration.txt (не помню) и в нем было написано число 15 и всё. Делал как указано в "Подробной инструкции, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: (спасибо time, zaruta)" и комп снова работает как часы. Лайв сиди использовал от Chip, прост и удобен.

На счёт DrW Cureit извините, может был не прав - она от 1 марта.

Так всё же мог я подцепить эту штуку в контре или нет?

Между почим сейчас у меня в реестре HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\ две винлоган: Winlogon и winlogon, вторая из них пустая а изменённый Shell был в обоих.

Да и regedit.exe перестал запускаться через "выполнить", стал требовать прав администратора. Я зашёл в него только через TuneUp.

Ray9 03.04.2011 23:28:

Такани Мегуми 23.01.2011 18:55:

zaruta 23.01.2011 02:10:

zotych 23.01.2011 01:40:
народ кто реально поможет убрать этот гребаный информер,Б..ЛЯ с меня шашлык,номер на который просят положить 8-985-960-73-62. Блокирует СУка все и даже в без.реж.не идет LIVE CD Dr.WEB тоже не смог,че делать?

• Начнем!
• Эти красавицы?

• Грузимся с LIVE CD или ERD COMMANDER ( любой - это не важно)
• В редакторе реестра ищем ветку :Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon подробно тут: http://www.fayloobmennik.net/...
• В значении Shell будет такой путь: С:\Program Files\Common Files\Mail\svhost.exe
• Меняем значение Shell на - explorer.exe
• Идём: С:\Program Files\Common Files\Agent\svhost.exe и удаляем папку \Agent
• Из автозапуска убраем и удаляем с ПК pkiller.exe и pkill.exe если они есть у Вас.
• Перезагружаемся-видим пустой рабочий стол.
• Далее ....3 горячих клавиши ..Ctrl+Shift+Del.....вызов диспетчера......запускаем AVZ ( но для этого нужно эту программу иметь на компе или скачать, ссылка в шапке форума), выполняем: файл-->>восстановление системы, ставим галочки в пунктах 9 (удаление отладчиков), 16 (восстановление запуска Explorer), 17 (разблокировка редактора реестра)
• Радуемся и дальше смотрим голых баб, а потом всё заново!
• PS; Если не затруднит отправте мне файл svhost.exe в архиве.

вооот эта проблема. нашла в начале ссылку на документ... по нему скачала программу... но запустить через биос сд не могу не получается.. скорее я не знаю как

zaruta 23.01.2011 02:10:

zotych 23.01.2011 01:40:
народ кто реально поможет убрать этот гребаный информер,Б..ЛЯ с меня шашлык,номер на который просят положить 8-985-960-73-62. Блокирует СУка все и даже в без.реж.не идет LIVE CD Dr.WEB тоже не смог,че делать?

• Начнем!
• Эти красавицы?

• Грузимся с LIVE CD или ERD COMMANDER ( любой - это не важно)
• В редакторе реестра ищем ветку :Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon подробно тут: http://www.fayloobmennik.net/...
• В значении Shell будет такой путь: С:\Program Files\Common Files\Mail\svhost.exe
• Меняем значение Shell на - explorer.exe
• Идём: С:\Program Files\Common Files\Agent\svhost.exe и удаляем папку \Agent
• Из автозапуска убраем и удаляем с ПК pkiller.exe и pkill.exe если они есть у Вас.
• Перезагружаемся-видим пустой рабочий стол.
• Далее ....3 горячих клавиши ..Ctrl+Shift+Del.....вызов диспетчера......запускаем AVZ ( но для этого нужно эту программу иметь на компе или скачать, ссылка в шапке форума), выполняем: файл-->>восстановление системы, ставим галочки в пунктах 9 (удаление отладчиков), 16 (восстановление запуска Explorer), 17 (разблокировка редактора реестра)
• Радуемся и дальше смотрим голых баб, а потом всё заново!
• PS; Если не затруднит отправте мне файл svhost.exe в архиве.

Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.

Короче, я не дождался скана дрвеба(он к 10 утра еще не закончил), запустил миднайт райдера или как там его, удалил все временные файлы, нашел вирус (назывался он svchost, кстати спасибо тем кто навел на название), перезапустил комп. естественно, раб.стол не хотел работать, зато ctrl-alt-del, сработал. Там я создал процесс explorer(файл-создать-), но выскочило только почему-то окно мой документы, остальное, в том числе и пуск не рабили. после я в папках нашел тотал коммандер, и через него запустил реестер, т.к. просто в него было не зайти и за запрета админом. Ну а остальное по накатанной как советовали из ""Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD ". Щейчас скачаю дрвеб/cureit, все подчищу, подлатаю. Вот. Спасибо форуму, ссылкам, участникам и админам. Кстати, отдельный респект дрвебу сидилив, т.к. только он заработал и запустился, хотя и с ограниченной функциональностью, вирус хитропопый все таки попался. А записывал я его на тот же диск, что и ливсиди и ерд, которые переходили на определенном этапе в синий экран так сказать смерти. так что есть мне сегодня счастье, чего и всем вам желаю.))

Ray9 04.04.2011 13:31:
перезапустил комп. естественно, раб.стол не хотел работать, зато ctrl-alt-del, сработал. Там я создал процесс explorer(файл-создать-), но выскочило только почему-то окно мой документы, остальное, в том числе и пуск не рабили. после я в папках нашел тотал коммандер, и через него запустил реестер, т.к. просто в него было не зайти и за запрета админом.

Вот то же самое было.

Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется....

Скорее всего не каждый LIVE CD подойдет для той или иной конфигурации железа. Мне например пришлось для корректной работы задать до 1,5Гб файла подкачки при загрузке LIVE CD. Критически не хватало оперативки.

Да и ещё до того как зачистить комп будучи загруженним с LIVE CD я просматривал папку с Windows и обнаружил там среди новых файлов один с расширением .jar, где он был конкретно не помню, однако каких-либо апплетов или ява игр в предыдущий день не загружал. В Temporary Internet Files обнаружил подозрительный html c той же датой создания, котоый при открытии закачивает с 109.94.220.35\pub\new.avi, но сейчас отуда ничего не скачивается. Может это как-то связано. Опять же, видео в тот день не закачивал. Скорее всего открылось всплывающее окноброузера, а когда нажал на кнопочку закрыть, тут то ко мне и залезла эта штука. По ява скрипту.

ssv-super 04.04.2011 11:03:
dfvgbh789

Зачем Вы мне скопировали пароль? Вы мне не раз пишите какие-то пароль к баннерам. Вы для начала посмотрите предыдущию переписку, а потом пишите. Я не пострадавший от вирусов.

----------------------------------------------------------------------------------------------------------

идальго 99 04.04.2011 12:02:
Между почим сейчас у меня в реестре HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\ две винлоган: Winlogon и winlogon, вторая из них пустая а изменённый Shell был в обоих.

Да и regedit.exe перестал запускаться через "выполнить", стал требовать прав администратора. Я зашёл в него только через TuneUp.

Качаем AVZ4 Запускаем программу ==> файл ==> восстановление системы ==> И ставим галочки на пункте 10 ( восстановление загрузки безопасного режима) 17 (разблокировка редактора реестра) Перезагружаемся. В редакторе реестра удали ветку Winlogon (которая практически пустая). Только не перепутай.

grinopas 04.04.2011 18:50:

ssv-super 04.04.2011 11:03:
dfvgbh789

Зачем Вы мне скопировали пароль? Вы мне не раз пишите какие-то пароль к баннерам. Вы для начала посмотрите предыдущию переписку, а потом пишите. Я не пострадавший от вирусов.

• А он тебя в потерпевшие все записывает и записывает.....
• Не пробовал мои выложенные баннеры?
• Вот еще скинули, но я не проверял, мозги и так кипят, если хочешь протести, только на виртуалке или в песочнице, так как не знаю баннер это или нет!
• http://zalil.ru/30797507 пароль на скачку тот же....

zaruta 04.04.2011 19:37:

• Почему странный последний?
• Очень даже симпатичный баннерок....
• http://zalil.ru/30797507 вот еще, но осторожно я не тестил, мозги и так кипят и не знаю баннер это или нет, но приславший клянется что баннер..

Ну потому что наверное, я такой в первые вижу.... Скачал, потом потестю. Личку проверишь?

grinopas 04.04.2011 19:33:

zaruta 04.04.2011 19:25:

grinopas 04.04.2011 18:50:

ssv-super 04.04.2011 11:03:
dfvgbh789

Зачем Вы мне скопировали пароль? Вы мне не раз пишите какие-то пароль к баннерам. Вы для начала посмотрите предыдущию переписку, а потом пишите. Я не пострадавший от вирусов.

• А он тебя в потерпевшие все записывает и записывает.....
• Не пробовал мои выложенные баннеры?

Ну первые 2 я давно уже их перепроверил по несколько раз. Особенно второй, к нему два способа избавления есть, не про-меняя ERD.

• Это перевод даты из под биос.
• И загрузка в безопасном режиме с поддержкой командной строки (он там не загружается).

А последний конечно странный :) Но я сейчас хочу другой попробовать(личку прочитай), я только недавно настроил виртуальную машину.

• Почему странный последний?
• Очень даже симпатичный баннерок....
• http://zalil.ru/30797507 вот еще, но осторожно я не тестил, мозги и так кипят и не знаю баннер это или нет, но приславший клянется что баннер..

grinopas 04.04.2011 19:33:

Ну потому что наверное, я такой в первые вижу.... Скачал, потом потестю. Личку проверишь?

• Ответил в ЛС

• Для grinopas
• http://zalil.ru/30797710 синий с 3 тетками
• http://zalil.ru/30797741 6 разных синих с тремя тетками
• Пароль тот же...

zaruta 04.04.2011 20:08:

• Для grinopas
• http://zalil.ru/30797710 синий с 3 тетками
• http://zalil.ru/30797741 6 разных синих с тремя тетками
• Пароль тот же...

Благодарю!

• Выкладываю еще один баннерок просит 320 руб. на номер 89653920049

• Баннерок легкий, можно всем потренироваться....
• Снимается практически всеми стандартными прибамбасами в винде....
• Любую программу можно запустить через меню "Выполнить" Win+R
• Я снял его аж 4-мя способами.....Process Killer, AnVir Task Manager, через меню "Пуск", через меню "Выполнить" и тд.

• Но изюминка баннера в том, что призапуске, автоматом выкидывает на порносайт, который пропадает при нажатии любой клавиши ( я например нажал ПринтСкрин)

• Да...кому нужно код разблокировки 325985
• А вот и сам красавец http://zalil.ru/30799304 пароль на скачку тот же, что и прежде....
• А вот и еще один http://zalil.ru/30799455

Тестил сегодня вирус VKSender.exe архив winblock который выложил zaruta,

• Не стал я способы искать по его избавлению, ибо пробовал через виртуалку, так как биоса там нет, переввести дату не возможно. В безопасном режиме тоже не знаю запускается или нет. А сразу загрузился через ERD.

• Как загрузимся идём Start –> Administrative Tools –> Registry Editor
• Не чего особеного. Баннер как баннер. В реестре прописан он в: hkey_local_machine\software\microsoft\Windows\CurrentVersion\Run ==> параметр Services

• Со значением, путь от куда его запускали. Удаляем параметр Services, Чистим временые файлы на всякий случай.
• С:\WINDOWS\Prefetch
• С:\WINDOWS\Temp И загружаемся обратно.

Привет grinopas

• Опередил ты меня с тестом моего баннера.....
• Я вчера просто устал...и так тестил два баннера, которые вчера выложил..
• Ты их пробовал?
• Последний очень интересный.......

Уважакмый АДМИН!! Что с форумом? Вообще не грузится! Или через раз!

мож хакнули недоброжелатели

zaruta 05.04.2011 13:21:
Привет grinopas

• Опередил ты меня с тестом моего баннера.....
• Я вчера просто устал...и так тестил два баннера, которые вчера выложил..
• Ты их пробовал?
• Последний очень интересный.......

Нет я вчера всю ночь не спал и под самый конец, перед сном, решил потестить баннер

grinopas 05.04.2011 18:56:

Нет я вчера всю ночь не спал и под самый конец, перед сном, решил потестить баннер

• шутишь..............

У кого сидит баннер стучите в асю 602539985 помогу

zaruta 05.04.2011 22:36:
У кого сидит баннер стучите в асю 602539985 помогу

Привет, zaruta!
Что это ты поменял приоритеты, уже и Аську завёл...

passerby 05.04.2011 23:20:

zaruta 05.04.2011 22:36:
У кого сидит баннер стучите в асю 602539985 помогу

Привет, zaruta!
Что это ты поменял приоритеты, уже и Аську завёл...

• А удобная штука я скажу! Раньше так же её не любил!

помогите пожалуйста!! просит отправить смс 57412689 на номер 1121. код 98969809582 не подходит.

zaruta 04.04.2011 22:57:

• Выкладываю еще один баннерок просит 320 руб. на номер 89653920049

• Баннерок легкий, можно всем потренироваться....
• Снимается практически всеми стандартными прибамбасами в винде....
• Любую программу можно запустить через меню "Выполнить" Win+R
• Я снял его аж 4-мя способами.....Process Killer, AnVir Task Manager, через меню "Пуск", через меню "Выполнить"

и тд.

• Но изюминка баннера в том, что призапуске, автоматом выкидывает на порносайт, который пропадает при нажатии любой клавиши ( я например нажал ПринтСкрин)

• Да...кому нужно код разблокировки 325985

угу,код верный

Привет! Снова я. Посмотрите пожалуйста что это http://zalil.ru/30808549, а я скажу где взял. Сам не рискую, так как не профи.

Там штука, называется Google.exe, пароль 2011.

В общем играл в контру, зашёл на новый серв, а там сразу началась закачка этого. У меня стоит Download Master, он автоматически берёт закачку на себя и выдаёт сообщение сохранить\нет\куда. В общем скачал, заархивировал и к вам на экспертизу.

Изменений на компе вроде нет, все рисковые папки без подозрительного.

Ладно, скачалось отсуда 188.127.233.219:808/Google.exe

Если вирус то может можно как-то наказать злоумышленников по горячим следам, скачалось всего 15 минут назад.

Да! Я был прав: DrWeb online _

Проверка: http://188.127.233.219:808/...exe... Версия антивирусного ядра: 5.0.2.3300 Вирусных записей: 1964544 Размер файла: 217.00 КБ MD5 файла: 3c43ff0bee8b4e747bf298b48f4a498a

http://188.127.233.219:808/...exe... packed by UPX

http://188.127.233.219:808/...exe... probably infected with DLOADER.Trojan

mrbelyash 06.04.2011 14:00:

угу,код верный

• Лучше к этому http://zalil.ru/30797507
• И к этому http://zalil.ru/30799455 подберите код!
• А к тому зачем , я его и так дал!

идальго 99 06.04.2011 14:24:
Да! Я был прав: DrWeb online _

Проверка: http://188.127.233.219:808/...exe... Версия антивирусного ядра: 5.0.2.3300 Вирусных записей: 1964544 Размер файла: 217.00 КБ MD5 файла: 3c43ff0bee8b4e747bf298b48f4a498a

http://188.127.233.219:808/...exe... packed by UPX

http://188.127.233.219:808/...exe... probably infected with DLOADER.Trojan

теперь будет точный детект Win32.HLLW.Autoruner.47401

zaruta 06.04.2011 14:25:

• Лучше к этому http://zalil.ru/30797507
• И к этому http://zalil.ru/30799455 подберите код!
• А к тому зачем , я его и так дал!

Ага,спасибо....потренировал моск. Я ж только учусь ;)

для Razvod.exe

P.S.

Это реальный винлок(его кто-нибудь подцепил?) или сам генератором слепил?

помогите пожалуйста!! смс с кодом 1420031 на номер 7781

mrbelyash 06.04.2011 16:43:

P.S.

Это реальный винлок(его кто-нибудь подцепил?) или сам генератором слепил?

• Мне его прислали.........
• Код верный.........
• А к этому http://zalil.ru/30797507 паролик подбери?......

Я не очень продвинутый юзер, скорее ламер, но вроде помогает http://adguard.ru/?c=237676 или http://download.adguard.ru/......

баннер удаляется в 10 минут))) сам по себе вирус полная туфта, лечится простым удаление exe шника, максимум avz кой востановление сделаете и все)) вот тут почитайте как удалить баннер,там все подробно расписано , от себя могу добавить вам hkey_local_machine software microsoftWindows NTCurrentVersion Winlogon в этой ветке параметр shell его значение это путь к блокеру надо перейти по нему и удалить exe шник потом параметр сменить на explorer.exe и будет вам счатье))))

Krolik131 09.04.2011 22:56:
баннер удаляется в 10 минут))) сам по себе вирус полная туфта, лечится простым удаление exe шника, максимум avz кой востановление сделаете и все)) вот тут почитайте как удалить баннер,там все подробно расписано , от себя могу добавить вам hkey_local_machine software microsoftWindows NTCurrentVersion Winlogon в этой ветке параметр shell его значение это путь к блокеру надо перейти по нему и удалить exe шник потом параметр сменить на explorer.exe и будет вам счатье))))

• Ну ка ну ка удали этот баннер за 10 мин с помощью AVZ
• http://zalil.ru/30797710 пароль 2011

zaruta 09.04.2011 23:51:

Krolik131 09.04.2011 22:56:
баннер удаляется в 10 минут))) сам по себе вирус полная туфта, лечится простым удаление exe шника, максимум avz кой востановление сделаете и все)) вот тут почитайте как удалить баннер,там все подробно расписано , от себя могу добавить вам hkey_local_machine software microsoftWindows NTCurrentVersion Winlogon в этой ветке параметр shell его значение это путь к блокеру надо перейти по нему и удалить exe шник потом параметр сменить на explorer.exe и будет вам счатье))))

• Ну ка ну ка удали этот баннер за 10 мин с помощью AVZ
• http://zalil.ru/30797710 пароль 2011

zaruta,

Не, ну серьёзно, Меня удивляют такие люди. Ну зачем кидать ссылку со статьёй, которая нечего нового не даст

• Krolik131, Хотя бы статью эту почитал, Прежде чем кидать другую.

Через тернии к звездам, только вот лень

grinopas 10.04.2011 04:30:

zaruta 09.04.2011 23:51:

Krolik131 09.04.2011 22:56:
баннер удаляется в 10 минут))) сам по себе вирус полная туфта, лечится простым удаление exe шника, максимум avz кой востановление сделаете и все)) вот тут почитайте как удалить баннер,там все подробно расписано , от себя могу добавить вам hkey_local_machine software microsoftWindows NTCurrentVersion Winlogon в этой ветке параметр shell его значение это путь к блокеру надо перейти по нему и удалить exe шник потом параметр сменить на explorer.exe и будет вам счатье))))

• Ну ка ну ка удали этот баннер за 10 мин с помощью AVZ
• http://zalil.ru/30797710 пароль 2011

zaruta,



Не, ну серьёзно, Меня удивляют такие люди. Ну зачем кидать ссылку со статьёй, которая нечего нового не даст

• Krolik131, Хотя бы статью эту почитал, Прежде чем кидать другую.

Через тернии к звездам, только вот лень

grinopas 10.04.2011 04:30:

zaruta,



Не, ну серьёзно, Меня удивляют такие люди. Ну зачем кидать ссылку со статьёй, которая нечего нового не даст

• Krolik131, Хотя бы статью эту почитал, Прежде чем кидать другую.

zaruta 06.04.2011 19:21:

mrbelyash 06.04.2011 16:43:

P.S.

Это реальный винлок(его кто-нибудь подцепил?) или сам генератором слепил?

• Мне его прислали.........
• Код верный.........
• А к этому http://zalil.ru/30797507 паролик подбери?......

к обоим код разблокировки 1072007

помагите пожалюста дайти код чтоби обайти банера просит отправит смс на 8903 с текстам 76456582 помогите пажалюста...