Имя:    Пароль:      Помнить меня       
Unsorted   ~  Software  ~  Помогите избавиться от вирусов Помощь тем, кто пытается вылечить компьютер
На страницу «  1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109  »
dim_on
Сообщение  06 Июн 2011, 20:26  Ссылка : Ответить с цитатой
Пол: Мужской 
C нами с 21.09.2006
Репутация: 95.7

Пару раз обходился простым нахождением и введением кода.
Но однажды никакие коды не подходили. Пришлось покувыркаться:

Просмотр полной версии : Лечение от баннеров


————————————————————————————————————————


Vitokhv18.02.2011, 07:34
Эта тема поможет пользователям избавиться от любого баннера.

Для того, чтобы это осуществить нам понадобится:
CD диск или флешка (если флешка то еще и программа UltraISO)
Образ - WinPE_uVS (http://hotfile.com/dl/113147010/19f7a1e/WinPE_uVS.iso.html) (101Mb)
MD5: 98E1BF5A6CA8B7DB800D9BEBDD8B74C9
SHA-1: 5A3186D2898F8D261852B7D3D0E3BC8090BD18AE

Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск/флешку и в нем файл Win7PE_uVS.iso то НЕ правильно))
Вставляете диск или флешку, перезагружаете компьютер, и при загрузке нажимайте (однократно) клавишу F8 до появления синего меню (еще бывают клавиши F12 и Esc для нутбуков):
В меню выбираем или загрузка с CD-DVD привода или с флешки Flash
http://dl.dropbox.com/u/17655378/usb/snowosx-menus.jpg

После загрузки появится окно:
Выберите в нем TotalCommander и нажмите GO
http://dl.dropbox.com/u/17655378/usb/sshot-2.PNG

Далее ищем свою флешку или диск (она подписана как WinPE_uVS)
http://dl.dropbox.com/u/17655378/usb/tc1.png

На флешке или диске ищем файл start.cmd и запускаем:
В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система)
http://dl.dropbox.com/u/17655378/usb/sshot-48.JPG

1) В первую очередь жмем кнопку "Выбрать каталог Windows"
http://dl.dropbox.com/u/17655378/usb/uvs5.png

2) Выбираем папку WINDOWS (если ее нет на диске C:\ она обязательно должна быть на других дисках)
http://dl.dropbox.com/u/17655378/usb/uvs2.PNG

3) Далее останется запустить программу, нажав "Запустить под текущим пользователем"
http://dl.dropbox.com/u/17655378/usb/uvs6.png

Как откроется окно, жмем по вкладке - "Файл" выбрать "Сохранить полный образ автозапуска" и сохранить в любом жестком диске.
После чего жмем по вкладке "Дополнительно" выбираем "Твики.." и кликаем по кнопке №12 "Сброс ключей Winlogon в начальное состояние" закрываем и жмем сочетание клавиш Alt+Del
Останется удалить подозрительные файлы, те, что бросаются в глаза, например:
xxx_video_3242.exe / svhost.exe / 22cc6c32.exe
Нажимаете правой кнопкой мыши по файлу вируса и выбираете "Добавить сигнатуру файла в вирусную базу" и жмите клавишу F7 - теперь программа становится антивирусом и ищет сигнатуру во всех файлах (должна появиться еще подобная строчка с таким же именем вируса)

Предупреждаю! перед удалением файла - нажимайте клавишу F1
Эта клавиша устанавливает флаги на "Скрыть проверенные" и "Скрыть известные"
http://dl.dropbox.com/u/17655378/usb/uvs3.png

Файлы подписанные производителем Microsoft Corporation системные, их не трогайте.
Если не знаете, что за файл, нажмите на него два раза мышкой и прочитайте описание.

Так же, Вы можете обратиться за советом, т.к. это только малая часть возможностей программы uVS (http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/)

Разработчик программы uVS: Кузнецов Д. М.
Сайт разработчика: http://dsrt.jino-net.ru/

————————————————————————————————————————

Vitokhv18.02.2011, 13:19
Вот тема где обсуждается эта программа: http://forum.kaspersky.com/index.php?showtopic=199377

————————————————————————————————————————

Vitokhv18.02.2011, 16:01
Создаём загрузочную флешку или CD с помощью Windows 7 USB/DVD Download Tool:
Первым делом скачать и установить саму программку (http://images2.store.microsoft.com/prod/clustera/framework/w7udt/1.0/en-us/Windows7-USB-DVD-tool.exe), она маленькая.
на некоторых системах (Windows Server 2003 или XP) возможно потребуются дополнительные компоненты, если они ещё не установлены, такие как Microsoft .NET Framework 2.0 (http://www.microsoft.com/downloads/ru-ru/confirmation.aspx?FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5) и Microsoft Image Mastering API v2 (http://hotfile.com/dl/105781719/7160246/IMAPI_v2.0.rar.html) (для обеих систем, x32 и x64 версий)

Запускаем программу.
1. Открыть файл образа Win7PE_uVS.iso (http://hotfile.com/dl/105532051/247429d/Win7PE_uVS.iso.html) через кнопку Browse и нажать Next
http://dl.dropbox.com/u/17655378/mic/01.png

2. Выбрать устройство на которое будем записывать образ:
http://dl.dropbox.com/u/17655378/mic/02.png

3. Если выбрано USB device, в списке (если съёмных устройств несколько) выбираем нужную флешку:
http://dl.dropbox.com/u/17655378/mic/03.png

Если было выбрано DVD, в этом шаге попросят вставить чистый DVD диск, но мы вставляем CD.
Жмём Begin copying.

Далее выдаётся предупреждение о том, что устройство должно быть очищено, жмём Erase USB Device:
http://dl.dropbox.com/u/17655378/mic/04.png

И ещё одно о том, что данные будут уничтожены. Диалог хочет убедиться в серьёзности наших намерений. Жмём Да
http://dl.dropbox.com/u/17655378/mic/05.png

4. Этот шаг самый простой, просто ждём пока программа выполнит все манипуляции.
http://dl.dropbox.com/u/17655378/mic/07.png

Запись завершается на 99%, и предлагается начать всё заново, закрываем окно, флешка готова:
http://dl.dropbox.com/u/17655378/mic/08.png

Вариант записи на CD проходит удачно, не смотря на то, что мы подсунули CD, вместо требуемого программой DVD диска:
http://dl.dropbox.com/u/17655378/mic/10.png

На этом загрузочная флешка или загрузочный диск готовы!

Как загрузиться с загрузочной флешки, записаной данным способом:
Вставить флеш в компьютер.
В самом начале загрузки компьютера войти в Boot Menu, обычно клавишей F12, F8, либо Esc для ноутбуков, в зависимости от версии и производителя BIOS, и пройти в раздел Hard Disk - слева будет плюсик, означает что жёстких дисков несколько:
http://dl.dropbox.com/u/17655378/mic/bm01.JPG

Далее выбрать нашу флешку, имя у неё General USB Flash Disk и нажать Enter.
http://dl.dropbox.com/u/17655378/mic/bm02.JPG

Если Boot Menu отсутствует, или по каким то причинам не удаётся в него войти, то в биосе, в разделе приоритетов жёстких дисков (Hard Disk Boot Priority) (http://forum.kaspersky.com/index.php?showtopic=199377&view=findpost&p=1584845)*, переместить General USB Flash Disk на верхнюю строчку клавишами + и - (плюс и минус). Сохранить изменения и выйти.
* - на примере Award BIOS
В начало
Профиль : Блог : Личное Сообщение
djrem
Сообщение  06 Июн 2011, 21:03  Ссылка : Ответить с цитатой
Возраст: 43 Пол: Мужской 
C нами с 23.01.2009
Репутация: 82.6

violeta81, лень писать, поэтому даю копипаст решения: Подмигивание

Цитата:
1. При загрузке компа тычем на кнопку F8 пока не появится список выбора вариантов загрузки Винды.
2. Выбираем режим загрузки - Безопасный, с поддержкой командной строки
3. В командной строке вводим regedit.exe - запускаем редактор реестра
4. В редакторе следуем по папкам таким маршрутом: HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows NT->CurrentVersion->Winlogon. Теперь в окне справа ищем параметр "shell". Стукаем по нему правой кнопкой мыши и выбираем редактировать. Вместо необходимого значения - explorer.exe там был прописан длинный путь в одну из подпапок папки Temporary Internet Files, непосредственно указывающий на собственно тело врага, который подменяет собой Проводник. Запоминаем этот адрес, копируем его в буфер обмена(это когда правой кнопкой мышки тыкаешь "копировать" по выделенному фрагменту текста), а в поле вводим то, что надо, то есть - explorer.exe (если там и стоит explorer.exe - полностью удаляем параметр shell - ***совет из комментариев)
5. Закрываем редактор реестра.
6. Из командной строки запускаем Проводник (пишем в ней: explorer.exe)
7. В адресную строку вставляем из буфера обмена тот самый путь, что был прописан в реестре, НО! стереть в самом конце адреса имя вредителя(нечто вроде "xxx_video_цифры.avi.exe" или например "flash_plaer.exe") , чтобы открылась только папка, его содержащая, жмем "Перейти".
8. Чтобы долго его не искать - полностью очищаем всю папку. Всё.

_____________________________
Я - гражданин Р, а кто ты? (С) Dino MC 47

Не страшно потерпеть поражение, страшно прекратить борьбу. Нет смысла стоять насмерть, если можно отступить, собраться с силами и победить. (С) Японская мудрость
В начало
Профиль : Личное Сообщение
arslanbek009
Сообщение  06 Июн 2011, 21:09  Ссылка : Ответить с цитатой
Возраст: 31 Пол: Мужской  Доверенный пользователь
C нами с 18.01.2010
Репутация: 59.7

violeta81 писал(а):
Помогите!!!!

комп запускается в безопасном режиме?
у меня таких очень много было...
диспечетчер задач>процессы поищи там...в автозагрузках может быть...

_____________________________
Улыбочка
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : SkypeID : ICQ
Wolverine
Сообщение  06 Июн 2011, 21:13  Ссылка : Ответить с цитатой
Возраст: 102 Пол: Мужской 
C нами с 28.03.2005
Репутация: 157.9

violeta81 писал(а):
Помогите!!!!

К сожалению последняя модификация, сегодня перерыл весь инет в поисках решения, кода пока нету, народ пока ждет или сносит винду.
Не какие безопасные режимы не пашут, все так же блочица.

_____________________________
“Пропадет все со временем, ибо не все так вечно как хотелось бы”
Любишь - отпусти, не любишь - прокляни...
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : SkypeID : ICQ
Flakes
Сообщение  06 Июн 2011, 21:16  Ссылка : Ответить с цитатой
Возраст: 32 Пол: Мужской  Доверенный пользователь
C нами с 25.02.2007
Репутация: 288.4

violeta81, где взяли? Хочу себе на виртуалку))
В начало
Профиль : Фотоальбом : Личное Сообщение : SkypeID : ICQ
ТУ-144
Сообщение  06 Июн 2011, 21:23  Ссылка : Ответить с цитатой
Возраст: 64 Пол: Мужской  Доверенный пользователь
C нами с 28.02.2006
Репутация: 149.6

violeta81 писал(а):
Помогите!!!!


Эх, качество картинки Грустно . Поставить на раб.стол Весело , и на работе начальнику Весело

_____________________________
Сказано - сделано. Потом подумано. /Авессалом Подводный
В начало
Профиль : Фотоальбом : Личное Сообщение
Persey
Сообщение  06 Июн 2011, 21:32  Ссылка : Ответить с цитатой
Возраст: 40 Пол: Мужской 
C нами с 13.04.2010
Репутация: 167

Wolverine писал(а):
violeta81 писал(а):
Помогите!!!!

К сожалению последняя модификация, сегодня перерыл весь инет в поисках решения, кода пока нету, народ пока ждет или сносит винду.
Не какие безопасные режимы не пашут, все так же блочица.


Я и говорю - вариантов пока нет. Ссылки на загрузку баннера появляются в нужных ветках реестра, их можно оттуда зачистить, но при следующей загрузке что то запускается до входа в систему, и снова делает ссылки в этих же ветках. И мы видим баннер снова. При загрузке вновь с ливсиди - опять видим загаженный реестр и так без конца.

У меня пока не было возможности найти откуда ноги растут, ибо жертвы всегда хотели быстрого решения, приходилось валить винду. Если кто предоставит комп для экспериментов - буду благодарен.
В начало
Профиль : Фотоальбом : Личное Сообщение : ICQ
Flakes
Сообщение  06 Июн 2011, 21:34  Ссылка : Ответить с цитатой
Возраст: 32 Пол: Мужской  Доверенный пользователь
C нами с 25.02.2007
Репутация: 288.4

Persey, виртуалку бери!
В начало
Профиль : Фотоальбом : Личное Сообщение : SkypeID : ICQ
Persey
Сообщение  06 Июн 2011, 21:37  Ссылка : Ответить с цитатой
Возраст: 40 Пол: Мужской 
C нами с 13.04.2010
Репутация: 167

Flakes, А образец?
В начало
Профиль : Фотоальбом : Личное Сообщение : ICQ
Flakes
Сообщение  06 Июн 2011, 21:40  Ссылка : Ответить с цитатой
Возраст: 32 Пол: Мужской  Доверенный пользователь
C нами с 25.02.2007
Репутация: 288.4

Persey, ну дык я сам жду!
В начало
Профиль : Фотоальбом : Личное Сообщение : SkypeID : ICQ
Persey
Сообщение  06 Июн 2011, 21:41  Ссылка : Ответить с цитатой
Возраст: 40 Пол: Мужской 
C нами с 13.04.2010
Репутация: 167

Хоть бы ссылку на тот порносайт, откуда цепанули ))
В начало
Профиль : Фотоальбом : Личное Сообщение : ICQ
ЙоханПалыч
Сообщение  06 Июн 2011, 22:11  Ссылка : Ответить с цитатой
Возраст: 47 Пол: Мужской  Доверенный пользователь
C нами с 23.11.2009
Репутация: 72.4

Ну я прям не знаю, куда свою беду постить Весело
В общем так:
Попросил меня ребёнок запилить ему игру Star Wars The Force Unleashed 2, что и было мною сделано. Игра работает вроде нормально, но киндеру она надоела. Решил я ее выпилить.
Тыкаю в её деинсталятор, а она мне :"Данную программу возможно деинсталировать только в среде 64-битной Windows". Пробую через Revo Uninstaller-та же хня....Отккатываю систему-игра на месте. Захожу в безопасном режиме-опять не удаляецца.Лезу через установку и удаление программ, а там...."Произошла ошибка, программа возможно уже была удалена. Удалить ее из списка?" Естественно, жму Да. Потом тыц в ярлык этой игры на рабочем столе Я в шоке Игра работает....
Камрады, как мне её победить?, А??? Злой
Винда ХР профешнл, Сервиспак 3, если чё.

_____________________________
Люблю, чтобы пиво было холодным, телевизор работал громко, а гомосексуалисты горели в аду.
В начало
Профиль : Фотоальбом : Личное Сообщение : ICQ
Vajor_new
Сообщение  06 Июн 2011, 22:29  Ссылка : Ответить с цитатой
Возраст: 43 Пол: Мужской  Доверенный пользователь
C нами с 09.01.2008
Репутация: 164.1

Wolverine писал(а):
violeta81 писал(а):
Помогите!!!!

К сожалению последняя модификация, сегодня перерыл весь инет в поисках решения, кода пока нету, народ пока ждет или сносит винду.
Не какие безопасные режимы не пашут, все так же блочица.

violeta81, вчера мне принесли ноут с точно таким вирусом, даже номер телефона был как на Вашем баннере. Вот тут решение: http://www.cyberforum.ru/security/thread285414.html
Эта дрянь не только кидает свой баннер с именем 22CC6C32.exe по пути c:\Documents and Settings\All Users\Application Data\, но и изменяет файл userinit.exe, который находится по пути c:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же userinit.exe, только который является резервным для восстановления системы и лежит по пути c:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл 22CC6C32.exe по указанному выше пути. В общем замкнутый круг получается.
Хочу отметить то, что есть одна небольшая "родинка" у файла userinit.exe, который лежит по пути c:\WINDOWS\system32\dllcache\ - у него не стандартная иконка, а квадрат серого цвета, что выдаёт его с потрохами.

В общем итоговое решение для тех, кто в танке и каске:
загружаемся через Live-CD, грохаем файл c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\system32\dllcache\userinit.exe на здоровый файл userinit.exe (прикреплю к сообщению)
заходим в реестр Вашей винды и меняем значение параметра Shell на Explorer.exe, который находится в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
переа\загружаемся и хлопаем в ладоши.
...по сабжу для Windows 7:
загружаемся через Live-CD, грохаем файл c:\Program Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\taskmngr.exe на здорове
заходим в реестр Вашей винды и меняем значение параметра Shell на "Explorer.exe", userinit на "C:\Windows\system32\userinit.exe,"(внимание, запятая важна!) которые находятся в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Program Data\22CC6C32.exe").
номер телефона там бывает разный, но это тот самый вирус, я вчера голову ломал над этим Улыбочка
Во вложении нормальный, неинфицированный userinit, который нужно подложить.

_____________________________
Я лёгок на подъём, но не с кровати.





userinit.rar - 11.86 Kб
Скачиваний: 5

В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : E-mail : ICQ
dim_on
Сообщение  06 Июн 2011, 23:23  Ссылка : Ответить с цитатой
Пол: Мужской 
C нами с 21.09.2006
Репутация: 95.7

Vajor_new, вот точно, этот 22CC6C32.exe и лечил вышеописанным способом.
userinit.exe и taskmngr.exe пришлось новые ставить.
В начало
Профиль : Блог : Личное Сообщение
Vajor_new
Сообщение  08 Июн 2011, 14:45  Ссылка : Ответить с цитатой
Возраст: 43 Пол: Мужской  Доверенный пользователь
C нами с 09.01.2008
Репутация: 164.1

ЙоханПалыч писал(а):
Ну я прям не знаю, куда свою беду постить Весело
В общем так:
Попросил меня ребёнок запилить ему игру Star Wars The Force Unleashed 2, что и было мною сделано. Игра работает вроде нормально, но киндеру она надоела. Решил я ее выпилить.
Тыкаю в её деинсталятор, а она мне :"Данную программу возможно деинсталировать только в среде 64-битной Windows". Пробую через Revo Uninstaller-та же хня....Отккатываю систему-игра на месте. Захожу в безопасном режиме-опять не удаляецца.Лезу через установку и удаление программ, а там...."Произошла ошибка, программа возможно уже была удалена. Удалить ее из списка?" Естественно, жму Да. Потом тыц в ярлык этой игры на рабочем столе Я в шоке Игра работает....
Камрады, как мне её победить?, А??? Злой
Винда ХР профешнл, Сервиспак 3, если чё.

Ну конечно, игра будет работать, потому что, судя по тому, что Вы написали, Вы ее удалили только из списка установки и удаления программ, а сама игра осталась на винте. В свойствах ярлыка посмотрите путь, по которому игра лежит на диске - и удалите ее физически простым удалением файлов. Если я фигню написал, кто-нибудь разбирающийся, поправьте меня Улыбочка

_____________________________
Я лёгок на подъём, но не с кровати.
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : E-mail : ICQ
Показать сообщения:   
На страницу «  1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109  »

Unsorted   ~  Software  ~  Помогите избавиться от вирусов

Ответить на тему

Перейти:  





Powered by phpBB   © Unsorted Team  support@unsorted.me  promo@unsorted.me  Полезные скрипты