diligence52
Freecell.exe - это игрушка пасьянс, rundll32.exe - компонент системы. Вижу, компьютер защищён неплохо. Получается ЭТОй spyware cease доверия больше, чем проверенным программам? В таком случае это уже паранойя! Не проще ли проверить чистую ОС чем-то другим, более заслуживающим доверия (Dr.Web CureIt!®)?
Waterclo
Moderator _ Я обратился не по адресу.
diligence52
Ну, раз не по адресу, на моём мнении свет клином не сошёлся. Подождём что скажет simplix... И все, кто имеет мнение по этому вопросу.
diligence52
Сделайте проще - закачайте подозрительные файлы на http://virustotal.com и сразу всё увидите.
simplix
В этом случае всё не проще, а гораздо сложнее. Товарищ diligence52 хронически не доверяет этой сборке: https://forum.simplix.info/viewtopic.php?pid=747#p747. После этого сообщения он удалил содержимое всех своих постов и оставил их пустыми. Зато доверяет "зоркой и бдительной", старательно разрекламированной и "многократно награждённой" Spyware Cease, кстати её сайт занесён в чёрный список PeerGuardian и ipfilter.dat uTorrent, т.к. собирает информацию об IP посетителей. Можно сделать вывод, что при сканировании эта хрень также передаёт какую-то информацию заказчику, т.е. является скрытой Spyware. Подробнее разбираться не испытываю желания. Как доказать человеку, что его подозрения относительно сборки беспочвенны?
diligence52
Единственное, что могу посоветовать - обратиться за разъяснениями на форум сайта СПАЙВАРЕ ру, это будет по адресу. С уважением - пока ещё не очень старый "умник".
simplix
спасибо,ну начнём,сейчас часто встречаю компьютеры с таким вирусом,на весь экран окно,никак не убирается и никак фактически не удалятся,где надпись.пришлите смс и всё удалится... лохотрон в общем
на компьютерах стояли разные антивирусные продукты,каспер,нод,авира,др.веб и все они это дело пропустили,как избежать данный вариант и как это дело лечить,с лайв сиди грузится и лечить не всегда помогает.
буду рад,что вами поднята такая тебя,ну а я поднял один из проблемных вариантов.
спасибо ещё раз!
deniskapoops
Сегодня знакомые попросили посмотреть компьютер. Говорят "что-то про активацию пишет и смс". Думаю, дело неладное, собрал свой "боекомплект", выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
"Windows заблокирован.
Для разблокировки отправьте смс 4119785996 на номер 3649.
Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные."
Давным давно сталкивался с такой бякой. В уже упомянутый "боекомплект" у меня входит LiveCD от DrWeb (curit). Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.
В нашей сети сообщают, что случай знакомых не единичный. Наши пользователи уже стали жертвами вируса. И если первый "вылечился" как и я, то второй пошел другим, оригинальным путем.
Резюме: Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше
Возможно подойдет код активации 3893879 (пробуйте)
Специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://news.drweb.com/show/?i=304&c=5, вводите цифры с сообщения ВАШЕГО компьютера - получаете разблокировачный код.
Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 если пожелаете,не замедлимо выполните. Этот пак сам установит все обновления до ноября месяца.
Буду держать вас в курсе событий...
Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!
Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.
Если после удаления вируса пропал рабочий стол
В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол.
Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать - если уже случилась беда - качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы ставьте PreSP4 и IE8, если пользуетесь эксплорером.
Помимо сканирования антивирусом рекомендуется проверить ветку в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)
Информация предоставлена http://www.polyakov.net.ru/blog/
ЕВГЕН
меня на сегодняшний день спасает сборка алкида,гружу её с флэшки(за это спасибо MBTY ) плюс там антивирей достаточно,но спасает авз+нод32,каспер с др.вебом пропускают эту гадость...
но я всё таки хочу узнать,как эта гадость попадает к простым чайникам,так как эта бяка встречается-у школьников,школьниц,взрослых людей,не все лазают в инете по зловредным сайтам...
хочется людей просто оберечь от этого!))
deniskapoops
ЕВГЕН
А как насчет этого https://forum.simplix.info/viewtopic.php?pid=3381#p3381
siva
не пробовал её,чтобы что-то запустить на больном компе.нужно освободить видимое место,а все окна с этой болячкой не двигаются.не сворачиваются,не убираются,чтобы даже кликнуть с флэхи этот файл,надо на него навести и подтвердить и видеть что и куда вводить.а не получится,потому что бяка по верх всех окон.вот так вот!
Этот вирус убирается за несколько минут с помощью программы AnVir Task Manager ( http://www.anvir.net ) Вам нужно взять portable-версию программы и записать желательно на диск (флешку в работе с чужими компами стараюсь не использовать)
Как правило, рекламное окно занимает не весь экран, а оставляет по краям рабочие области (думаю это сделано для счастливых обладателей мониторов 800х600). Окно проводника можно сдвинуть в сторону, получить доступ к диску и запустить AnVir, который перекроет окно вируса. На вкладке "Автозагрузка" удаляем подозрительные пункты с завершением процессов и удалением файлов их породивших.
Вдобавок бывает полезным загрузиться с LiveCD (любого) и почистить папку Temp.
Отредактировано Andrej (01.01.2010 14:40:52)
Ребята, хочу спросить. Пару дней назад хапонул троян после которого у меня в винде все время сидело окно о перечислении каких то денег за программу. Ну с этим трояном я разобрался при помощи "AVZ". Теперь по сути, у меня теперь правой мышей кликая на панели инструментов не активируется функция "диспетчер задач" Это можно как-то исправить?
Отредактировано Luks (12.01.2010 13:01:35)
Luks
Не запускается "диспетчер задач" и по Ctr+Alt+Del, заблокирован запуск? У "AVZ" есть "Файл" --> "Восстановление системы". Ставишь галочку на "Разблокировка диспетча задач" и жмёшь на "Выполнить отмеченные операции".
Sergikaz
Спасибо, получилось.
Здравствуйте! Меня уже почти 2 месяца мучает следующая проблема, и никак не получается что-то изменить.
В середине декабря я дважды подхватывала порно-банер, блокирующий Windows. Назывался он plugin.exe и располагался 1ый раз на диске С:, а 2ой - в С:/Program Files. 1ый раз разблокироваться удалось только переименованием с помощью DrWeb-а. Просто удалить или вылечить не удавалось. 1ый раз я отправила этот вирус в DrWeb и они внесли его в базу вирусов. 2ой раз DrWeb на новую версию вируса даже не среагировал (проверялась в безопасном режиме). Я сама его углядела и переименовала.
В первом случае после переименования комп стал требовать перезагрузку. Когда я от него отошла, перезагрузился сам. С тех пор я не могу попасть практически ни на один сайт антивирусов, проверка ссылок для FireFox от DrWeb не рабоает. Удалось зайти только на казахский DrWeb и Panda. FireFox стал подвисать почти каждую минуту на короткое время. Перед появлением сообщения о том, что антивирусные базы обновлены, подвисает весь комп. И возникли еще проблемы с антивирусной проверкой. Теперь проверяюсь всегда только в безопасном режиме Windows DrWeb-ом (лицензия) и CureIt. Если выбрать полную проверку, то она проходит минут за 20, быстрее на несколько минут, чем быстрая. Вижу, что проверяется только 1 папка на диске С: (винт - 300 Гб, свободно 15 Гб, разделен на 2 части). Если выбрать диск С:, то тоже только 1 директория проверяется. Многочасовая проверка начинается только тогда, когда проверяешь каждую папку по отдельности. А вот диск Z: нормально проверяется, если его выбрать.
Ума не приложу, как это исправить. Больше всего напрягает то, что не могу попасть на сайты антивирусов, а от бесконечных зависаний браузера у меня скоро начнутся нервные припадки. Пробовала переустанавливать FF, Opera, IE. Результатов нет. Что делать? Переустанавливать Windows? Можно ли обойтись без форматирования С:, установив поверх прежней сборки, а то диск забит под завязку и копировать некуда? И можно ли в моей ситуации быть уверенной в том, что Windows скачается, прожжется и установится нормально? Ну и еще один вопрос, хотя и не совсем к месту: насколько легко устанавливается ваша сборка, а то я никогда сама не устанавливала, только читала об этом у Левина в "Самоучителе работы на компьютере"? Может можно обойтись менее радикальными способами?
Буду очень признательна, если кто-нибудь может чем-то помочь.
mvk2000 писал(а):
Пройдись одной из программ
MalwareBytes Anti-malware
Super Anti Spyware
SpyBot – Search&Destroy
Спасибо. Попробую. Доступна только 3я, на первые 2 не могу попасть.
попробуй загружаться с LiveCD.
Я не могу его скачать по той же причине.
А вообще-то эта тема несколько для иных вопросов, более подходящее место мне кажется здесь
Упс, я его не нашла. Вы правы.
maximum писал(а):
попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.
Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно. А качать с каких-то других сайтов... Теперь боюсь всего.
Попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.
Скрытый текст (раскрыть):
Рекламная рассылка от AdSubscribe
В AVZ выполнить данный скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Windows\system32\mssrv32.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
***
Удаляем рекламу секс шопа
В AVZ выполнить данный скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
RebootWindows(true);
end.
НатаZ сообщает:
Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно. А качать с каких-то других сайтов... Теперь боюсь всего.
а что непонятно я привел два скрипта, в вашем случае надо использовать второй скрипт ну и описал, куда надо вставить скрипт в AVZ что непонятного скачать - AVZ
Отредактировано maximum (20.02.2010 17:07:00)
НатаZ
вот ещё avz с осзона с обновлениями по февраль,поможет вам во многом и вернуть комп к жизни!)
http://turbobit.net/arma5r94d8oe.html
http://depositfiles.com/ru/files/9zyuaf2gu
Очень уважаю эту талантливую сборку, особенно за возможность обновления (а часто при этом и исправления) плохо работающей Оси.
Однако, сегодня столкнулся с такой проблемой - работает система WinXP SP2, запускаю диск в режиме обновления, начинают загружаться вспомогательные файлы и когда загрузка подходит примерно к 95% выскакивает сообщение о невозможности загрузки файла ayiooojcl.sys (или a3avdlar.sys или a3og1et7.sys). Такое впечатление, что эти названия несуществующих файлов формируются случайным образом из 8-ми символов, причем первый из них обязательно "a" .
Проверил этот эксперимент на двух версиях (разные CD) от 20.12.2009 и 20.02.2010 - результат аналогичный. Я в полном ступоре Если есть какие-то мысли, то ради бога помогите из него (СТУПОРА ) выйти. Антивирусом (DrWeb с последними обновлениями) проверял диск - всё чисто.
Заранее благодарен.........................Дмитрий
P.S. Если вдруг не по теме подскажите куда обратиться ( В Microsoft не посылать!)
Отредактировано mitmash (29.03.2010 16:07:14)
mitmash
Судя по названиям файлов и неспособности обновиться, система заражена вирусами. Загрузись в WinPE, найди и удали указанные файлы (если они есть), там же пройди по реестру утилитой REGEDITPE.EXE и удали на них ссылки. Удачи!
mitmash
Возможны два варианта:
1. При обновлении рабочей системы программа установки не может скопировать некий *.sys-файл в случае, когда драйвер какой-то программы присутствует в установленной системе, не может быть удалён без нарушения функций обновляемой системы, а в составе дитрибутива отсутствует и не может быть перезаписан (FAQ, 1.2. Вопрос).
Действие:
Пуск->Поиск->Забиваем название файла, находим, в свойствах файла смотрим, какой программе принадлежит драйвер. Деинсталлируем её перед обновлением системы. Так же, увидеть какой программой заблокирован файл можно Unlocker-ом.
2. Более вероятно, наличие трояна в установленной системе, раз "названия "несуществующих" файлов формируются случайным образом". Антивирусом, инсталлированым в инфицированной системе, проверять бесполезно - он может быть заблокирован, или вирус (руткит, троян) защищён от обнаружения.
Действие:
Качаем (FAQ, Пункт 5.2) AVPTool или Dr.Web CureIt!® и AVZ (внимательно смотрим скриншот). Устанавливаем их на флэшку и проверяем из-под WinPE старую систему. AVZ запускаем для контроля после удаления вирусов из-под установленой системы, перед её обновлением.
вот какая проблема при обновлении из под самой операционке возникла.
1ый раз обновлял показало то же самое токо с другим названием файла
2й и 3й раз то что на скрине
обновляю 15.03.10 на 15.05.10
Скрытый текст (раскрыть):
подскажите как решить проблему или ваще просто как обновить тогда.
и кстати еще 1 вопрос.
почему при установки операционки на диск "С" boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот
Отредактировано Saten (15.05.2010 19:37:30)
Saten,
IMHO: два варианта - ошибка в записи образа или все дело в обновляемой ОС.
Это была сборка.....?
мд5 совпадает, в загрузщике тоже проверял все нормально.
В смысле сборка??? этой же виндой обновлял (15.03 была (и есть) обновлял 15.05
щас просто даже завиртуалил все версии которые были 05.05 05.05 фикс и 15.05 с правыльными мд5, и выдает все время такие же ошибки