Рекламный блок.

WereWolf
тоесть путь загрузки файла??
он работает и загружается прям из винды.
а выполняется експлорером когда идет автозапуск программ с РЕЕСТРА.
C:\windows\ctfmon.exe

Да и еще если в папке windows есть файл svchost.exe удаляйте его ТОЖЕ ВИРУС.

ОРИГИНАЛЬНЫЙ SVCHOST.EXE И CTFMON.EXE ЛЕЖАТ В \SYSTEM32

в некоторых локальных сетях Харькова народ возмущался по поводу появления такого, причем такое появлялось вроде как после прихода мастеров настройки, когда тупо отрубали фаирволы и антивирусы...
такое встречалось после установки любителей Zver сборки винды.

такое встречалось после установки любителей Zver сборки винды.

любят детишки разные комбайны...
а книжки читать некогда, все аськи, контакты и ютубы...
потом смотрят в список процессов и видят фигу

SynkMaster
Стандартный вариант восстановления системы-просто загрузиться с флешки и подцепив внешний реестр, посмотреть в него. а уж если известны пути, откуда лезет дрянь-так просто вычистить оную ручками!
А ещё поймать бы написателя этой дряни..... Ух, и размялся бы я
Хотя, спасибо ему, пока такие писатели будут-мы не останемся без нашего кусочка масличка на вкусном хлебушке

По роду работы уже приходилось сталкиваться пока только с тем, что у народа в "ишаке" окно, которое просит отправить СМС и дать денег. Лечится Ctrl+Alt+Del. Сессию начинать заново. Дополнения, если таковые появились, в настройках обозревателя - удалять или хотя бы отключать

Ух, и размялся бы я

да да бывают и такие что убил бы.

мне както попался "Win32.Sality" клеится к екзешникам "МОЧИТ АНТИВИРУСЫ"..... после испытаний над ним. "AVAST" "MCAFEE" Были уничтожены безпощадно. Убивает процесс и творит свои дела. у мя 100 гигов инсталов софта заражено было. восстановить никак ибо каспер не умел лечить его.

Вобщем совет таков ставьте пароли на антивиры. и еще.....не доверяйте данным на винтах-болванки рулят

это еще что!
у меня был случай, когда на десктопе появилась картинка Your privacy is in danger. При этом комп превратился в дрова, скорость копирования файлов с диска С на Д 20 кб/сек
Предполагаю, что пролезть зараза могла даже windows update.
Промучился недолго, черел линукс скопировал все на флэху и форматнул винт

деблокер для ленивых
http://virusinfo.info/deblocker/

Я недавно намотал такой WinLock
Мучался недолго. Почитал с нетбука Dr.Web ... потыкал предлагаемые коды. Непомогло.
Никакие Ctrl-Alt-Del не помогали.
Reset и загрузка с возвратом на предыдущую точку восстановления системы.
Вуа ля

Vadim Y. Gradoboyev
чего делал, чего НЕ делал? Если ещё актуально-принеси, пороюсь в нём)

чего делал, чего НЕ делал?

Да я всё кратко описал ... выше.

Если ещё актуально-принеси, пороюсь в нём)

Не актуально.
У меня на машине всё в порядке.
А в Dr.Web я отправил файлик - это теперь Trojan.Siggen2.1790 или Trojan.Winlock.2387

А что есть опыт реверсить ? Есть IDA ? Вышлю если хочется поднять свой уровень.

Взято на уважаемом мною ресурсе.... (сам не пробовал)

Этот вирус подменяет Explorer.exe в реестре и не дает нормально загрузиться ОС.
К сожалению средства удаления СМСблокеров от лаборатории Касперского, и DrWeb на момент написание данной статьи (09.09.10) бессильны, по крайней мере, в тех случаях, которые мне попадались.

Для восстановления работоспособности ОС необходимо Expoler поставить на место, для этого:

1. Подключаем диск с зараженной системой к другой машине, либо загружаемся с LiveCD
2. Открываем regedit (Пуск -> Выполнить > Regedit)
3. Становимся на HKEY_LOCAL_MACHINE
4. Нажимаем "Файл" "Загрузить куст"
5. Ищем каталог C:\WINDOWS\SYSTEM32\CONFIG на диске с зараженной ОС
6. Загружаем файл "software"
7. Набираем имя раздела old_reg (можно любое)
8. Переходим old_reg\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
9. Ищем и изменяем параметр Shell на Explorer.exe
10. По окончанию редактирования нажимаем "Файл" "Выгрузить куст"
11. Перезагружаем ПК

Также некоторые модификации подобного СМСблокера, могут находиться в:
old_reg\HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon
Ищем параметр Userinit, должно быть C:\Windows\system32\userinit.exe,
Если после запятой что-то прописано, то с большей долей вероятности, это и есть ваш "мучитель", удаляем все после запятой.

Поводом для написание данной статьи (кстати, это первая моя опубликованная новость на NNM), послужило множественные обращения знакомых, друзей и коллег, с просьбой помочь убрать данный блокер.

Взято на уважаемом мною ресурсе

Взято на ещё более уважаемом ресусе:
Даже если систему удалось разблокировать, необходимо удалить из нее следы пребывания троянца. Это можно сделать с помощью Dr.Web CureIt! В противном случае сохранится вероятность блокировки работы отдельных программ.

Че, проблема все еще актуальна?
Ко мне уже давненько обращений с подобной проблемой не было.

такая же хрень была вконтактике когда в хост.ини практически все популярные сайты менялись на хост, который требовал отправить денег.

проблема не в кодеках и прочей лабудени, а в прокладке - между креслом и клавой. Отсутствие антивируса и/или нежелание думать - приводят к таким вот штукенциям. Мне недавно принесли такой же казус - с надписью, что то типа "посещение гей-сайта за бесплатно закончилось - шлите деньги" + картинка + блокировка. Вот чуваку было весело.....

Acronis Thru Image ваше спасение!

сейчас новая муля появилась: софт в гугле ищешь , скачиваешь с незнакомого варез сайта якобы winrar файл с расширением .exe (выглядит так: MozillaFirefox.rar.exe) оно запускается, в лучшем случае просто попросит бабки за программу, а в худшем оно на экране чтото промелькнет и через пару минут всем известное окно в голыми бабами

Проблема актуальна. На прошлой неделе поймал такую херь на средней паршивости сайте о российской недвижимости. Лечился в безопасном режиме др.Вебом, апосля Авирой + ковыряние в реестре. Задолбался.