Карта сайта

Это автоматически сохраненная страница от 22.02.2013. Оригинал был здесь: http://2ch.hk/b/res/43834382.html
Сайт a2ch.ru не связан с авторами и содержимым страницы
жалоба / abuse: admin@a2ch.ru

Птн 22 Фев 2013 13:16:51
STOP SCROLLING! ANON WITH PROBLEM HERE!
Сап, анон. ЕОБ.
В общем, есть один баннер на ноутбуке родителей, от которого я не могу избавиться. Батя умудрился на одном из порносайтов поймать баннер, а я, естественно, У НАС ПРОГРАММИСТ, ты и чини.
Все бы ничего, мне не впервой, но тут какая-то явная НЕХ и мне нужна помощь программист-куна или просто его помощников.
Телефон на пикрелейтеде баннер синий, требует 2500, а номер тот же нигде не пробивается, через LiveCD с Dr.web или касперским не лечится проверял весь ноутбук, реестр тоже не лечится. ЭТО ЖЕ ОЧЕВИДНО, ЧТО НУЖНО СДЕЛАТЬ, но я правда не хочу ебаться с этим ноутбуком, я уверен. что там миллиарды косяков вылезет и переустановка шиндовс станет причиной смерти битарда.
В общем, выручай, анон. С меня как всегда.


Птн 22 Фев 2013 13:20:56
>>43834382
Решение:

Перезагружаем компьютер.
При загрузке (в самом начале, после включения ПК, до загрузки Windows) нажимаем F8.
Выбираем безопасный режим с поддержкой командной строки. Ждёмс)
Потом перед вам появится чёрное консольное окошко.

Пишем: regedit (откроется редактор реестра).
Заходим в: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Нажимаем на слово Winlogon, справа появлятся много параметров с установлеными значениями.
1) Находим параметр Shell, там и будет прописан путь к [баннеруk. Удаляем всё содержимое и пишем: Explorer.exe
2) Проверяем так же параметр Userinit, кроме C:\WINDOWS\system32\userinit.exe там не должно ничего быть.

Готово. Закрываем реестр.
Теперь необходимо перезагрузиться (нормально), если просто нажмётся маленькую кнопку на системнике, то изменения не вступят в силу и баннер останется.

Птн 22 Фев 2013 13:33:11
>>43834554
>Выбираем безопасный режим с поддержкой командной строки. Ждёмс)
Баннер намертво перекрывает рабочий стол, никакой командной строки я не вижу. В интернетах где-то гуглил, что баннеры как-то не дают безопасному режиму жить.
В любом случае, попробую запустить консоль через LiveCD с касперского.

Птн 22 Фев 2013 13:44:20
>>43835122
Любое средство дающее доступ к консоли. Можешь хоть лайвюсб линукса сделать подключить и через него выебать реестр винды.

Птн 22 Фев 2013 13:52:03
>>43834554
>1) Находим параметр Shell, там и будет прописан путь к [баннеруk. Удаляем всё содержимое и пишем: Explorer.exe
Пикрелейтед. Вроде как все нормально там.

Птн 22 Фев 2013 13:52:42
>>43834554
>2) Проверяем так же параметр Userinit, кроме C:\WINDOWS\system32\userinit.exe там не должно ничего быть.
Аналогично, все выставлено нормально.

Птн 22 Фев 2013 13:55:50
>>43835900
Ты - говноед.

Птн 22 Фев 2013 13:58:01
Ничтожество, твои проблемы лишь забавляют меня.

Птн 22 Фев 2013 13:59:27
Ну же, анон, выручай.
>>43836140
А ты что хотел-то? Не буду же я родителям мозги ебать, что бы умели пользоваться ноутбуком [и не лазили по порносайтам

Птн 22 Фев 2013 13:59:39
>>43834382
На хабре пару месяцев назад проскакивала в топе подобная статья. Только там у пацана еще все данных на ХДД шифровались. Поищи, может поможет.

Птн 22 Фев 2013 14:01:40
http://support.kaspersky.ru/viruses/solutions?qid=208638485
Заебали программисты блять. Даже в гугл не могут.

Птн 22 Фев 2013 14:04:35
>>43836194
Дай им безопасную на pornolab. Безопасность+fullhd

Птн 22 Фев 2013 14:05:45
>>43836415
LordMax, залогинься.

Птн 22 Фев 2013 14:06:06
>>43836293
Нету там этого номера, хуйняша.

Птн 22 Фев 2013 14:07:49
>>43836476
Блядь, на самом видном месте упустил. Да и хуй с ним.

Птн 22 Фев 2013 14:09:46
Бамп во имя порносайтов и родителей!

Птн 22 Фев 2013 14:10:29
>>43836493
Ты совсем тупой блять?
Что делать, если Deblocker не помогает?
воспользуйтесь Kaspersky WindowsUnlocker - новой бесплатной утилитой для борьбы с программами-вымогателями .

Птн 22 Фев 2013 14:13:06
>>43836690
Лечение реестра уже проводил- не помогло.

Птн 22 Фев 2013 14:14:16
Тогда загляни просто в msconfig. Посмотри, что запускается автозапуском? Поищи на компе (поиском) недавносозданные экзешники - запомни названия и удали записи о них из реестра (а екзешники себе оставь). Не выйдет - найди кеш браузера посмотри что качалось какие екзешники. Отследи, что они делают, куда лазают. Способов вычислить такую хуйню множество.

Птн 22 Фев 2013 14:16:04
>>43836565
обосрался с ебанько.

Птн 22 Фев 2013 14:16:51
Аноны, тут вы говорите про сложные отношения порно и родителей. Я врываюсь в тред с кулстори. Дело в том, что у моего отца ноутбук и он юзает ie, причём не самый новый. Так вот, захожу я как то раз на его комп, чисто ради интереса, на главной в ie Часто Помещаемые Сайты и ссылка на поиск в яндексе запроса "Порно азиатки". Блин. Нахер так жить

Птн 22 Фев 2013 14:16:51
>>43836858
Не выгорит и это - поставь на автозапуск (лучше вместо експлорера) Process Killer. Или какую-нить утилиту вроде этой.

Птн 22 Фев 2013 14:17:27
ОП, если найдешь баннер, залей его на ргхост.

Птн 22 Фев 2013 14:18:29
Вбрасывай экзешник. Заходи через безопасный режим, или жми Win+U под локером, они редко такое предусматривают.

Птн 22 Фев 2013 14:18:36
>>43837004
Ага, тоже хотеть, кинуть пару пидорасом, а то деньги нужны а они все не звонят и не просят шиндуос пере установить.

Птн 22 Фев 2013 14:19:58
>>43836803
Блять вирус сам себя не запустит, не находят он в реестре. Какая у тебя версия шинды?

Птн 22 Фев 2013 14:20:55
>>43837127
Кроме реестра способов автозапуска еще сотни, лол.

Птн 22 Фев 2013 14:21:43
оП когда бенер пожхватилитред не читал

Птн 22 Фев 2013 14:23:04
>>43837196
Ты упоролся что ли? 3 дня как подхватили, вылечить не могу.

Птн 22 Фев 2013 14:25:25
>>43834382
там же написано, 600р переведи просто

Птн 22 Фев 2013 14:26:12
ОП, ты еблан? Все ведь написано, перевести 600 рублей и отправить код.

Птн 22 Фев 2013 14:27:36
>>43837384
Пока есть такие ебанашки - школьники будут продолжать клепать локеры и ждать с лохов вроде тебя халявного бабоса.

Птн 22 Фев 2013 14:27:47
>>43837384
В глаза перестаньте ебаться.
2500 рублей там перевести надо.
Узнать у родителей название браузера-тоже проблема, установлено их 4 штуки. Пользовались "белым яблоком с красными полосками" видимо, яндекс браузером, лол.

Птн 22 Фев 2013 14:29:12
C:\Documents and Settings\username\Local Settings\Temp открой и удали все файлы того числа когда подхватил сифилис

Птн 22 Фев 2013 14:30:16
>мне нужна помощь программист-куна
>почини компьютер
если ты такой ебанутый, то тебе проще заплатить 600р
убил бы тебя, суку. Небось и телевизоры просишь программистов починить

мимо-программист

Птн 22 Фев 2013 14:30:36
ОП, возможно, этот вирус не рассчитан на восстановление после него и он просто затирает explorer.exe. Алсо, вычисти все папки temp и поищи свежие exe и dll

Птн 22 Фев 2013 14:30:41
>>43834382
ОП, при загрузке заходи в биос ставь дату годом ранее тоесть 2012г-сохранить-выйти. Комп загрузится в обычном режиме без банера дальше можешь спокойно искать его, удалять и поставь наконец 2ip/

Птн 22 Фев 2013 14:31:27
>>43837527
Оттуда можно вообще все удалить, это же темп.

Птн 22 Фев 2013 14:33:45
>>43837625
ну и комп то батилысого

Птн 22 Фев 2013 14:36:44
>>43834382]
Спемопроблемы-спермопроблемушки. У тебя жи вирасы. Пачисти риэстар и абнави антивирас, лах.

Птн 22 Фев 2013 14:37:04
>>43834382
ОП, если у тебя всё чисто в реестре, может у тебя explorer.exe и есть тот баннер? Через автозапуск он и запускается, хотя выглядит нормально. Перескачай explorer.exe, замени тот, что в системной папке находится.

Птн 22 Фев 2013 14:37:04
http://rghost.ru/44020798
Тот самый зловещий файл, вытащенный из ноутбука.

Птн 22 Фев 2013 14:38:12
>>43837872
> SEX VIDEO.exe

Ну это вообще пушка. Поясни своему бате, что почём.

Птн 22 Фев 2013 14:40:22
>>43837914
А еще видео весит 124 кб. Ну да ладно. сам проиграл как с названия, так и вообще.

Птн 22 Фев 2013 14:40:46
>>43837869
Да, и проверь заодно все тамошние exe - lsass, msmsgs, ctfmon, csrss, smss. Если что - перескачай. Если не даёт прав - зайди с правами SYSTEM.

Птн 22 Фев 2013 14:42:42
>>43838030
ОП, ты как? Ещё не сдулся?

Птн 22 Фев 2013 14:42:58
>>43837872
Так ты его удалил уже, ОП? Или ты не ОП?

Птн 22 Фев 2013 14:44:05
https://www.virustotal.com/ru/file/b414598d94574bd7fb80ac715c3fbc86bec82cb327d68e756b05f25efdb83ea4/analysis/1361529765/

Птн 22 Фев 2013 14:44:17
>>43838114
Сам-то сдулся, естественно, что заебало его ноутбук чинить.
>Так ты его удалил уже, ОП? Или ты не ОП?
А смысл его удалять? Ну удалил, но это же екзешник. Программа-то еще установлена и сидит где-то.

Птн 22 Фев 2013 14:44:43
>>43838125
Бессмысленно его удолять же. Сам баннер висит в папке шиндоуса.

Птн 22 Фев 2013 14:44:53
https://www.virustotal.com/ru/file/b414598d94574bd7fb80ac715c3fbc86bec82cb327d68e756b05f25efdb83ea4/analysis/
Я думаю, все достаточно очевидно, где оно сидит.

Птн 22 Фев 2013 14:45:39
>>43838171
Поясните теперь по-хардкору, что дальше делать.

Птн 22 Фев 2013 14:46:23
>>43838207
>Сам баннер висит в папке шиндоуса.
И что теперь?

Птн 22 Фев 2013 14:47:17
>>43838244
Ты же ПРОГРАММИСТ. Обращения к реестру и файловой системе, а также выполненные команды перед тобой.

Птн 22 Фев 2013 14:47:30
>>43838286
Нужно sys32 выпилить.

Птн 22 Фев 2013 14:48:33
>>43838330
Какой к чёрту sys32?

Птн 22 Фев 2013 14:50:08
Оп, ты в глаза долбишься? Тебе же уже написали >>43838306, так хули ты не делаешь?

Птн 22 Фев 2013 14:50:36
>>43834382
>баннер синий, требует 2500, а номер тот же
Грузишься в безопасном режиме
запускаешь msconfig
отключаешь в автозагрузке вирус, название обычно что то типа 3204958240234.exe
Сам файл обычно в папке C:\Users\username удаляешь его тоже
Все, делов на 5 минут.

Птн 22 Фев 2013 14:51:32
>>43837592
Этот способ, уже год с лихуем как не работает.

Птн 22 Фев 2013 14:53:23
>>43838373
Весь лалка. После этого сделай себе нормальную загрузочную флешку с богомерзким виндовсом.

Проверь сам експлорер. (Просто переименуй и попытайся стартовать нормально. Если это он - баннера не увидишь)

Птн 22 Фев 2013 14:55:32
>>43838609
Нахуя весь? Тебе анализ вбросили, где прекрасно видно, куда и как он записывается. Нахуя тебе все сносить, блять? Ты слепой?

Птн 22 Фев 2013 14:56:06
>>43837872
Можно использовать вместо вишенки, все равно она не на всех пека работает. Зато и жертва поебется, раз даже ОП-ПРОГРАММИСТ просит совета тут.

Птн 22 Фев 2013 14:56:34
Попробую вылечить на виртуалке.

Птн 22 Фев 2013 14:59:00
>>43834382
ОП, ты чё, дебил? На баннере же написано, что нужно делать. Нахуй ты тред создал? Отправь 600 рублей на номер и тебе разблокируют виндовс. Сам так делаю всегда. Пиздец олень.

Птн 22 Фев 2013 15:00:00
>>43838873
Не 600, а 2500.

Птн 22 Фев 2013 15:00:52
>>43838901
школьники не могут в иронию

Птн 22 Фев 2013 15:01:07
>>43838753
способом

Птн 22 Фев 2013 15:01:22
йобанарот , если все эникей-куны сталкиваясь с говнобаннерами будут ебашить треды с мольбами о помощи мой брат умрёт нахуй. вместе с /b/.
сажи блеать.

Птн 22 Фев 2013 15:02:30
Смотрю прон под бубунтой без антивирусов, всё правильно делаю?

Птн 22 Фев 2013 15:02:54
>>43838753
Хикканы, а давайте задеаноним этого ублюдка и отомстим ему за опа? Мы же знаем его номер телефона, нужен годный справочник. Далее нужно будет с помощью информации из справочника узнать его вконтактик. Да и вообще, реквестирую пранкеров. Он мог бы позарится на быдло, но напал на батю анонимуса. И мы ему этого не можем простить.

Птн 22 Фев 2013 15:05:00
>>43838967
В безопасном режиме то же самое.

Птн 22 Фев 2013 15:05:41
>>43839137
С командной строкой запускай

Птн 22 Фев 2013 15:06:03
>>43838609
>Проверь сам експлорер.
> (Просто переименуй и попытайся стартовать нормально. Если это он - баннера не увидишь)
Переименовал- баннер исчез, но и самого рабочего стола нету.
Битарды, мы на правильном пути, лол. Как убрать банер и остаться с рабочим столом?
ОП-хуй программист

Птн 22 Фев 2013 15:06:05
>>43839137
Блять, ты может наконец обратишь внимание на готовый анализ?

Птн 22 Фев 2013 15:06:50
>>43839195
Смотри анализ, смотри анализ, сука.

Птн 22 Фев 2013 15:08:21
800346
815611
862701
932214
841483
852224

Эти коды разблокировки не подходят?

Птн 22 Фев 2013 15:09:55
964496
947212
933287
809517
903629
937438
Оп, прости. я не хотел ничего делать с твоим батей. Вот, один из этих кодов должен подойти.

Птн 22 Фев 2013 15:11:11
>>43839197
Почему нет-то? Я даже под рутом не боюсь сидеть, потому что вероятность того, что подхвачу вирус ничтожна же лолёпта

Птн 22 Фев 2013 15:11:21
>>43839342

Разве коды на эти баннеры вообще есть? Это же все наебка, по идеи.

Птн 22 Фев 2013 15:12:18
>>43839342
Не подходят.

Птн 22 Фев 2013 15:12:34
>>43839399
>по идеи
Со школы рано вернулся, уёбок?

Птн 22 Фев 2013 15:12:42
>>43839391
зато у тебя глаза красные

Птн 22 Фев 2013 15:13:21
>>43839391
Потому что из пушки по воробьям, епта.
>Я даже под рутом не боюсь сидеть
Ну ты и лох.

Птн 22 Фев 2013 15:13:46
>>43836140

дай инвайт на лепру

sladkiy@me.com


Птн 22 Фев 2013 15:14:12
>>43839195
ну так поменяй больной explorer.exe на здоровый

Птн 22 Фев 2013 15:14:21
НЕУЖЕЛИ ЭТО ТАК СЛОЖНО
Запусти комп в безопасном режиме.
Зайди в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Добавь туда cmd.exe (школьники, пишущие винлокеры, не знают о коммандной строке)
Перезагрузи копьютер, включи нормально.
На мониторе винлок и командная строка.
Дальше taklist'ом получаешь список процессов и taskkill'ом убиваешь процесс с именем наподобие 8gf09bbfy87.exe
Ищещь его експлорером, удаляешь с винта.
<sub><sub><sub><sub><sub><sub><sub><sub><sub><sub><sub>И всё.</sub></sub></sub></sub></sub></sub></sub></sub></sub></sub></sub>

Птн 22 Фев 2013 15:16:01
НЕУЖЕЛИ ЭТО ТАК СЛОЖНО
>>43839508
командной
фастфикс

Птн 22 Фев 2013 15:16:11
>>43839508
Неужели это так сложно - заглянуть на вирустотал и увидеть относительно подробный анализ поведения, где написано, что, где и куда записалось? Сажи ОПу-хую.

Птн 22 Фев 2013 15:16:30
>>43839508
Вот этот все правильно написал.

Птн 22 Фев 2013 15:17:19
>>43839569
Не поверишь - но среди прочего троян делает
taskkill /F /IM explorer.exe
Так что эти школьники - знают :3

Птн 22 Фев 2013 15:19:58
>>43839055
ну ты и лалка

Птн 22 Фев 2013 15:20:06
>>43839617
Блокировать, к счатстью, не додумываются.

Птн 22 Фев 2013 15:23:03
>>43834382
Снимаешь винт, подключаешь его к нормальному компу, дальше сканируешь все разделы Dr.Web Cureit. PROFIT

Птн 22 Фев 2013 15:23:44
>>43839857
Веб его не детектит, лал.

Птн 22 Фев 2013 15:26:08
>>43834382
Подгружай куст.

Птн 22 Фев 2013 15:32:00
>>43834554
Можно сам файл с этим вирусом удалить, если есть допуск к жёсткому диску. Если даже безопасный режим с поддержкой командной строки заблокирован - спасёт ЛЮБОЙ Live CD
Я диск с линуксом Mandriva вставлял и через поиск нашёл файл. В настройках поиска поставил, дату изменения на тот день, когда баннер появился.
Алсо можно msconfig и смотришь, что в автозапуске лишнее.

Птн 22 Фев 2013 15:35:39
>>43834382
Грузи Ragrun Warrior он избавляет от этой хуйни на раз два, только мануал прочти а то напортачишь.

Птн 22 Фев 2013 15:39:52
>>43834382
FORMAT C:

Птн 22 Фев 2013 15:41:40
Удалил explorer.exe и userinit.exe и заменил на новые. Всем добра няшек.
Оп-хуй программист

Птн 22 Фев 2013 15:46:25
я в таких ситуациях юзаю AntiWinlocker live cd и тебе оп советую


← К списку тредов