0

И еще по баннеру 3pic.com и другим…

Еще нашлось на просторах инета…

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.

DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.

Удалил все ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше 😉 А ведь секретарша, думала уже СМС отправить за 300 рублей :)))

Кстати ДокторВеб написал генератор таких вот кодов.

newsland.ru

Internet Security обнаружил вредоносное ПО на вашем компьютере.

Опубликовал(а): New_Angel 2010-01-11 17:12 в раздел Текст | Просмотрели: 3862 | Прокомментировали: 36 |

Сегодня столкнулся с новой напастью:
При загрузке системы появляются окна «Ошибка приложения»
Инструкция по адресу «…» обратилась к памяти по адресу»…» память не может быть «written»
«ОК»- завершение приложения
«Отмена»- отладка приложения
Отладка приводит к открытию нового окна «Ошибка приложения», но уже только с одной кнопкой «ОК»- завершение приложения… а потом, при попытке запустить или удалить какую-нибудь программу, появляется баннер почти на весь экран:

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Он «находит» 49 вирусов и предлагает лечить или удалить вредоносные файлы. Если выбираешь лечить — появляется сообщение об оплате программы посредством SMS на номер 7373.
Этот баннер выскакивает после загрузки windows и в безопасном режиме и в простом. Заблокированы диспетчер задач и реестр, восстановление системы отключено, антивирус отключен. При запуске любой программы баннер перезапускается и сканирует систему заново.
Мучался часа три:
1) Сервис деактивации вымогателей-блокеров — даёт код, который не помогает
2) Колдовство с LiveCD и антивирусами не помогло.
3) Помогла такая табличка (нашел на одном из форумов)
К = 1—2—3—4—5—6—7—8—9
0 = 8—9—1—2—3—4—5—6—7
1 = 9—1—2—3—4—5—6—7—8
2 = 1—2—3—4—5—6—7—8—9
3 = 2—3—4—5—6—7—8—9—1
4 = 3—4—5—6—7—8—9—1—2
5 = 4—5—6—7—8—9—1—2—3
6 = 5—6—7—8—9—1—2—3—4
7 = 6—7—8—9—1—2—3—4—5
8 = 7—8—9—1—2—3—4—5—6
9 = 8—9—1—2—3—4—5—6—7
Для кода в sms подставляешь цифры одного из столбцов. Меня просили отправить сообщение к204114200.
Значит надо пробовать комбинации:
1183993188
2294114299
3315225311

Всего 9 вариантов, один из которых и подошел. Комп перезапустился и стал нормально работать (диспетчер задач, редактор реестра — ОК).

Кстати, после нормальной перезагрузки, необходимо проверить всю систему обновленным антивирусом, особенно обращая внимание на папки:
1) C:\Documents and Settings\%username%\Local Settings\ — там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ — из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, …)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) — найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла относятся к Windows (msv1_0.dll и xmlprov.dll — эти файлы не удалять), а остальные, особенно с датой создания за январь 2010 года) — очень хорошо проверить — 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки.

Народные умельцы даже написали прогу для генерации этих кодов http://files.mail.ru/15CNRR

Источник http://blogs.ukrhome.net/view/39597/10576488/Kak-udalit-banner-s-ekrana-kompyutera-5121.html

Метки: , , , , ,

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Создание и продвижение сайтов WebLine-Studio © 2008-2019