BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Ваш компьютер заблокирован. Зловредный баннер. Решение на WinSeven  (Прочитано 6703 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
Столкнулся с проблемой на WinSeven с таким Баннером
Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов.
Решение:
  • запускаем комп через F8
  • выбираем пункт Устранение Неполадок Компьютера
  • появляется окошко Параметры восстановления системы
  • нажимаем далее
  • в новом окне выбираем пользователя администратор или пользователя  с правами администратора
  • нажимаем далее
  • в появившемся окне выбираем командная строка
  • там же вбиваем regedit
  • ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • там меняем  Userinit ставим значение C:\WINDOWS\system32\userinit.exe
  • Shell   ставим значение  Explorer.exe
  • заходим через командную строку в раздел C:\programdata\
  • удаляем файл 22CC6C32.exe
  • заходим так же в раздел C:\User\All Users\Application Data\
  • удаляем 22CC6C32.exe
перезагружаем копьютер и радуемся.
« Последнее редактирование: Декабрь 13, 2011, 09:18:21 pm от sysadmin »
ctrl+alt+del

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Недавно тоже столкнулся, о чем написал статейку:
Удаление SMS вымогателя блокирующего систему
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
еще нашел  место где такой же баннер может находится
в c:\users\пользователь\AppData\Local\Temp\

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
еще один Зловредный баннер но уже нашего производства стоимостью 15 000 тенге wpbt0.dll
место нахождение C:\Documents and Settings\Admin\Local Settings\Temp\

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
еще один Зловредный баннер но уже нашего производства стоимостью 15 000 тенге wpbt0.dll
место нахождение C:\Documents and Settings\Admin\Local Settings\Temp\
если это dll... то что интересно использовало данную библиотеку/..? Мне как то тоже попалась похожая dll никак не удаляющаяся, помнится был исполняемый файл в корне папки %appdata% который ее использовал....

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
Странно за 2 дня таких компов собралось почти 5-6 только у меня,
не учто наши умники решили подзаработать

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Можешь статистику кинуть какие файлы появляются и в каких папках, так же информацию о пользователях... являются ли они администраторами на машинах или нет, а так же какой антивирус стоит и как лечишь?

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
Как я заметил вместе с ним несколько файлов появились в разделе
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\
все формата *.jpeg и  *.gif.
Пропустили его два антивируса касперВоркстейшин6 и Eset антивирус,
Получилось удалить его Касперским Кристалом9,
другими антивирусами еще не пробовал как попадется дам еще список антивирусов которые могут поймать и вылечить.

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
Еще один Банер с текстом,
"Вы установили наш банер для доступа на наш сайт."
Файл с банером находится в диске С:\
название файла userinit.exe (trojan.winlock.origin)
и в реестре было изменено Shell,
пришлось запускать с Лайф СиДи и проверить диски на вирусы,
Был обнаружен и удален Касперским 2011.

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
Хм наши соотечественники бьют рекорды,
зловредный баннер в тенге, местонахождение диск D:\
ОС Windows 7 ультимат
как заметил название avi.exe, странный файлик с атрибутами - системный , скрытый.
Удалил не сразу, искал в старых местах где обычно прячутся вирусы, но сюрприз ждал не там, в безопасном режиме кстати дает работать, пришлось искать файлы по дате изменения за последний дни и часы и все это проверять. Атаки становятся всё опаснее и умнее.
« Последнее редактирование: Май 04, 2013, 04:04:47 pm от sysadmin »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
на диске D лежал прям в корне?

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
на диске D лежал прям в корне?
да, как скрытый, реестр не меняет вместо шелла не запускается а сам как то автозапуском, хотя проверял там его не видал
« Последнее редактирование: Май 04, 2013, 04:05:16 pm от sysadmin »

Оффлайн NasOrda

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 886
  • Karma: +48/-0
  • Пол: Мужской
  • Я Есть Власть над Сетью )))
    • Share Post
Благо нашел программу AntiSms для борьбы с баннерами,
радовался не долго =))
теперь появляются совсем другой формат вируса вроде 7zS2bgd.exe 300 гривней  :sarcastic: место нахождение
C:\Users\admin\ или же C:\Users\администратор\
Вирусы становятся умнее  :lol: :sarcastic:

Оффлайн D.Samilkin

  • Модератор раздела
  • Специалист ИТ
  • ***
  • Сообщений: 377
  • Karma: +18/-0
  • Пол: Мужской
    • Share Post
C:\Users\user файл 4559970.exe
Антивируса нет
Пользователь является администратором компа
Этот ноутбук приходит ко мне за 2 месяца во второй раз.... говорит ер тостык хотел посмотреть  :sarcastic:
И ещё говорит в этот раз уже 5000 тенге, наглеют, в прошлый раз было 2000

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
C:\Users\user файл 4559970.exe
Антивируса нет
Пользователь является администратором компа
Поставь антивирус, понизь в правах  :sarcastic:


clip
Доступ в интернет заблокирован mvd.ru

Автор NasOrda

3 Ответов
902 Просмотров
Последний ответ Март 31, 2015, 02:22:05 pm
от sysadmin
xx
AV решение - создание видеостены

Автор Di_fox

0 Ответов
283 Просмотров
Последний ответ Март 18, 2016, 03:39:01 pm
от Di_fox
xx
Live Security Platinim на WinSeven

Автор NasOrda

4 Ответов
2024 Просмотров
Последний ответ Июль 25, 2012, 11:11:55 am
от NasOrda
lamp
Задачка: найти оптимальное решение для СХД Intel: JBOD, SAN, NAS, SAS, SCSI, iSCSI и прочее.

Автор AnReykfi

1 Ответов
296 Просмотров
Последний ответ Апрель 01, 2016, 10:07:36 am
от sysadmin