Очередной банер-вымогатель

-ЗЛОЙ- · 11.01.2012, 00:59

Несколько раз уже удалял этих "тварей" но в этот раз не получается.
Описание:
при загрузке ХР выдает банер (см фото) и просит денег на веб-кошелек. Ничего сделать нельзя, только включить экранную клавиатуру, но от нее толку нет.
После неудачных танцев с бубном нашел статью
Загрузился в безопаске, запустил Dr.Web CureIt! - он ничего не нашел.
Полазил по реестру - подозрительного тоже ничего не нашел.
Запустил TDSSKiller - он нашел подозрительный файл в разделе ../sys32/drivers/*.sys и... скопировал его для карантина. После перезагрузки TDSSKiller понятное дело не запустился и файл этот не проверил...
Генераторы ключей на сайте каспера и веба ничего не генерируют...
винт лень снимать + спортивный интерес

Артём · 11.01.2012, 01:13

Какой номер кошелька на фото? Не видно.

-ЗЛОЙ- · 11.01.2012, 01:19

один раз выдало
U341961682718
один раз выдало
U361302225968
дальше не обращал внимания...

Артём · 11.01.2012, 01:20

Окей, сейчас поищем.

Артём · 11.01.2012, 01:29

Не ищет по этим номерам. Попробуй еще скачать Kaspersky Virus Removal Tool

upd - попробуй еще эти коды:
913912
131391013
1391013
913913
99913
913911
bvcbvc
9109101313
(подходят для вымогателей на кошельки Web-Money)

-ЗЛОЙ- · 11.01.2012, 01:50

Цитата:

Сообщение от Family Man

попробуй еще скачать Kaspersky Virus Removal Tool

инсталяху 107 метров??????????????????????????

она вообще из безопаски без прав админа станет? Вот и я думаю НЕТ!
------------------------------------------------------------------
коды попрбую ща

-ЗЛОЙ- · 11.01.2012, 02:01

УРА!!!
Последний код подошел! Благодарю!

Артём · 11.01.2012, 02:12

Отлично. Кстати код найден на сервисе Dr.Web, но не точным поиском (результатов не дает), а по картинке.
И в любом случае советую также прогнать систему проверкой Dr.Web Live CD, потому как зараза может остаться в реестре.

AlexZir · 11.01.2012, 08:43

На сайте Касперского есть LiveCD для удаления подобных вирусов. Качните, запишите на болванку и пользуйтесь. При этом не надо судорожно искать коды разблокировки и пытаться стартовать утилиты из-под зараженной системы, UnLocker сам проверит системный реестр и пофиксит подозрительные записи. Также с диска можно будет и проверить систему. Единственная проблема может возникнуть при подмене системных файлов зараженными, но и это решаемо. В разделе Библиотека я выложил подборку наиболее часто подменяемых системных файлов с краткой инструкцией, что куда кидать, под Windows XP Pro SP3.

sedoy · 11.01.2012, 09:18

Цитата:

Сообщение от AlexZir

На сайте Касперского есть LiveCD для удаления подобных вирусов. Качните, запишите на болванку и пользуйтесь. При этом не надо судорожно искать коды разблокировки и пытаться стартовать утилиты из-под зараженной системы, UnLocker сам проверит системный реестр и пофиксит подозрительные записи. Также с диска можно будет и проверить систему. Единственная проблема может возникнуть при подмене системных файлов зараженными, но и это решаемо. В разделе Библиотека я выложил подборку наиболее часто подменяемых системных файлов с краткой инструкцией, что куда кидать, под Windows XP Pro SP3.

Подтверждаю. Занимает значительно меньше времени, чем подбор кодов.

11.01.2012, 00:59	#1 (permalink)
-ЗЛОЙ- Banned Регистрация: 04.10.2010 Сообщений: 3,765 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2154	Очередной банер-вымогатель Несколько раз уже удалял этих "тварей" но в этот раз не получается. Описание: при загрузке ХР выдает банер (см фото) и просит денег на веб-кошелек. Ничего сделать нельзя, только включить экранную клавиатуру, но от нее толку нет. После неудачных танцев с бубном нашел статью Загрузился в безопаске, запустил Dr.Web CureIt! - он ничего не нашел. Полазил по реестру - подозрительного тоже ничего не нашел. Запустил TDSSKiller - он нашел подозрительный файл в разделе ../sys32/drivers/*.sys и... скопировал его для карантина. После перезагрузки TDSSKiller понятное дело не запустился и файл этот не проверил... Генераторы ключей на сайте каспера и веба ничего не генерируют... винт лень снимать + спортивный интерес Миниатюры

11.01.2012, 00:59
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Пока в вашей теме не появились ответы, можете посмотреть эти Очередной зверь Очередной конфиг Банер Банер заблокировал рабочий стол

11.01.2012, 01:13	#2 (permalink)
Артём votum separatum Регистрация: 05.05.2008 Сообщений: 14,603 Записей в дневнике: 52 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 18619	Какой номер кошелька на фото? Не видно.

11.01.2012, 01:19	#3 (permalink)
-ЗЛОЙ- Banned Регистрация: 04.10.2010 Сообщений: 3,765 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2154	один раз выдало U341961682718 один раз выдало U361302225968 дальше не обращал внимания...

11.01.2012, 01:20	#4 (permalink)
Артём votum separatum Регистрация: 05.05.2008 Сообщений: 14,603 Записей в дневнике: 52 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 18619	Окей, сейчас поищем.

11.01.2012, 01:29	#5 (permalink)
Артём votum separatum Регистрация: 05.05.2008 Сообщений: 14,603 Записей в дневнике: 52 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 18619	Не ищет по этим номерам. Попробуй еще скачать Kaspersky Virus Removal Tool upd - попробуй еще эти коды: 913912 131391013 1391013 913913 99913 913911 bvcbvc 9109101313 (подходят для вымогателей на кошельки Web-Money)

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

11.01.2012, 02:01	#7 (permalink)
-ЗЛОЙ- Banned Регистрация: 04.10.2010 Сообщений: 3,765 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2154	УРА!!! Последний код подошел! Благодарю!

11.01.2012, 02:12	#8 (permalink)
Артём votum separatum Регистрация: 05.05.2008 Сообщений: 14,603 Записей в дневнике: 52 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 18619	Отлично. Кстати код найден на сервисе Dr.Web, но не точным поиском (результатов не дает), а по картинке. И в любом случае советую также прогнать систему проверкой Dr.Web Live CD, потому как зараза может остаться в реестре.

11.01.2012, 08:43	#9 (permalink)
AlexZir support Регистрация: 19.08.2007 Адрес: Зея Сообщений: 15,797 Записей в дневнике: 71 Сказал(а) спасибо: 166 Поблагодарили 203 раз(а) в 86 сообщениях Репутация: 75760	На сайте Касперского есть LiveCD для удаления подобных вирусов. Качните, запишите на болванку и пользуйтесь. При этом не надо судорожно искать коды разблокировки и пытаться стартовать утилиты из-под зараженной системы, UnLocker сам проверит системный реестр и пофиксит подозрительные записи. Также с диска можно будет и проверить систему. Единственная проблема может возникнуть при подмене системных файлов зараженными, но и это решаемо. В разделе Библиотека я выложил подборку наиболее часто подменяемых системных файлов с краткой инструкцией, что куда кидать, под Windows XP Pro SP3.