Сервисный центр: «PC-HELP»     IT service

FAQ

Информация


Новости

13.11.2015
Я хочу скачать...

В последнее время все чаще приходится ликвидировать последствия чьего-то не очень удачного скачивания из интернета. История очень простая: юному геймеру срочно нужен важный плагин, без которого его любимые танчики не ездят и на любимой ферме не растет морковка. Где качать этот плагин? Известно где, — в интернетах. Спрашиваешь у любимого гуглика и всего делов.


23.10.2015
Палеонтологический музей

Сегодня у меня был не рабочий день, а поход в палеонтологический музей: две машины, которые мне довелось «взбадривать» у разных клиентов, были оснащены планкой на 512МБ оперативки, камушками типа Celeron 1.7Ghz и дальше по списку. Только один ноутбук был вполне вменяемым — Асус X551MA. Расскажу подробнее, что с этим всем произошло.


22.08.2015
И у айтишников ломаются компы...

Пару дней назад у меня сломался компьютер. От поломки не застрахован даже семейный компьютерный доктор, тем более — мой комп верой и правдой отслужил мне около 8 лет. Кнопка включения перестала реагировать на нажатие и я решил провести все возможные домашние тесты перед тем, как отдать ПК в сервис.


Глоссарий

Блокировка за гей-порно и детское порно

Уважаемые любители детского и гей порно, а также самых что ни на есть обычных порнофильмов! Напомню, ваш любимый вирус «ой, у меня заблокирован компьютер» никто не отменял, наоборот — злые меркантильные хакеры ужесточили правила! Теперь оплату требуют не на короткий номер и не пополнением счета билайн, а прямо на кошелек webmoney через терминал. Дают на оплату 10 часов, в противном случае грозятся уничтожить данные Windows и ... BIOS. Спасибо вам, о мега-хакеры, улыбнули ) Однако, давайте к делу.

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет. Вы смотрели гей-порно и детское порно, за что будете покараны на 150 гривен (кошелек вебмани прилагается). Поспешите, у вас мало времени! Что делать? Искать ливсиди(liveCD) или бутявые флешки(liveUSB)? Давайте пойдем иным путем — разберемся в сути проблемы, так легче ее решить.

Сей чудо-вирус попал к вам в компьютер после того, как вы скачали либо порнофильм, либо плеер для «улучшенного» просмотра таковых, правда? Скачали и запустили. Вам не показалось странным, что значок фильма выглядел ... необычно. Если вдруг вы читали мою статью про скрытие расширений файлов, вы сможете их открыть и посмотреть на ваш скачанный «фильм» — xxxvideo.avi.exe — при скрытых расширениях .exe не видно и перед пользователем красноречивое xxxvideo.avi, то есть фильм, если верить преданиям. Но расширения-то скрыты, так что ави — это часть имени, вводящая вас в заблуждение. Качая торренты, смотрите на свойства файла, который качаете.

Ну, скачали, ну, запустили, что делать-то? После перезагрузки рабочего стола нет, вместо него картинка и поле для ввода кода. Соответственно, что? Правильно, заменена оболочка, роль которой исполняет файл explorer.exe — он же рабочий стол, он же проводник, он же Гога, он же Гоша. Заменить оболочку можно только внеся изменения в реестр Виндоус, но запустить regedit вы не сможете: ни пуск-выполнить, ни cmd, ни три пальца не работают. Но ведь есть же поддержка командной строки! Да, при перезагрузке жмите кнопку F8 (это одна кнопка, а не эф и восьмерка) пока не пояятся варианты загрузки. Выберите «безопасный режим с поддержкой командной строки» — вместо оболочки грузится командная строка, в которой весьма несложно написать regedit, а дальше дело техники: 

HKLM-software-Microsoft-WinNT-current version-Winlogon — ищите пункт «Shell» и дважды щелкните ЛКМ по нем. Там будет написан путь к заразе(например: d:\movies\porn\xxxvideo.avi.exe) — запомните его, а лучше — запишите. Удалите всю надпись, напишите explorer.exe и нажмите OK. Полдела сделали, теперь закройте редактор реестра и в командной строке введите explorer.exe — вас предупредят о безопасном режиме и запустится рабочий стол. Помните, вы записали путь к заразе — пройдите по нему и удалите зловредную бациллу с компьютера. Далее перезагрузитесь и скачайте свежую версию ДокторВебовского антивиря, о котором я уже достаточно много писал. Если для вас вышеописанное больше похоже на французский язык (кстати, в нем есть красивое слово vergetures), чем на указания к действию — лучше пригласите специалиста.

Обращаю ваше внимание на то, что вирус-вымогатель встречается разных видов, для каждого из которых есть своя методика лечения. Ознакомьтесь с этой новостью ДО размещения необдуманного комментария.

Внимание! Почитайте новость о том, как лечить гей-порно вирус ещё проще — запуском файла.

Я сэкономил вам 150 гривен (оплата злоумышленнику, помните?) — пообещайте, что на них вы приобретете лицензионные диски в секс-шопе и не будете качать exe-фильмы из Сети!


Смотрите также:

Как удалить Avast 4 с компьютера?
Virut.56
Аваст: осторожно, система не защищена
Вирус temp68
Сайты знакомств
taskhost
Порно-вирус
Троян не пускает в интернет
W32.Sality и Аваст
Вирус в супермаркете


Комментарии:

08.07.2011 15:32   Bobby

Спасибо, а то думал что убью брата!

08.07.2011 16:18   Денис

Бобби,(кстати именно так называют полицейских в Великобритании), брата убивать не время. Ведь он, скорее всего, смотрел обычное порно. Если будет замечен за гей-порно - тогда не слушайте меня ;)

16.07.2011 21:06   Serge

Не качал никаких фильмов, вообще в принципе захожу только на проверенные сайты. Тем не менее попался на эту вирусню. Вопрос: ЗА ЧТО?

16.07.2011 22:29   Денис

Сергей, помнится дааавно, когда мне довелось немного преподавать компьютерное дело, тема была вирусы и ученики задали вполне логичный вопрос: зачем люди это делают? Задача этого конкретного вируса предельно проста: обогащение автора на незнании пользователей. Где взяли? Да где угодно - тизеры и попапы с попандерами сейчас в моде, а вешают туда не пойми что.

19.07.2011 22:03   Кирилл

Спасибо большое!!!

19.07.2011 22:30   Денис

Кирилл, всегда пожалуйста. Кстати, аналогичную вирусню(которая закрывает собой две трети экрана) можно побороть таким же способом.

19.07.2011 22:56   User

Кратко, с юмором и, главное, работает. 10 минут на все - и ноутбук клиента снова в работе. Спасибочки)

19.07.2011 23:01   Денис

User, если вы взялись лечить злобную бациллу на буке клиента, вы уже не юзер ;) Почитайте глоссарий, раздел "Работники компьютерных фронтов"

20.07.2011 12:25   Andy

У меня Windows 7, возникла такая же проблема.
Вот сдесь HKLM-software-Microsoft-WinNT-current version-Winlogon нету пункта Shell.. Что делать?

20.07.2011 13:43   Денис

Энди, перепроверил на семерке, такой пункт у меня почему-то есть :)

20.07.2011 18:42   Andy

Ах пардон, действительно, нашол)

21.07.2011 10:26   Eugene

Автору оргромная благодарность! Уже 2 штуки за неделю "поймал". Причем оба на автомобильных сайтах. Первый раз переустанавливал систему, воторой раз оказался умнее, заглянул в инет. Автор - молодец!

21.07.2011 10:28   артем

Вот сдесь HKLM-software-Microsoft-WinNT-current version-Winlogon пункт Shell, а там прописано, там прописано explorer.exe. Ни какого пути к заразе нет! И банер появляется через минуту после запуска. Че делать подскажите плззз!!!

21.07.2011 10:31   Денис

Евгений, пошла эта тема с широкой огласки смс-биллинга, вот нехорошие человеки, вместо чтоб вложить энергию в нужное русло, решили заняться вот такой лабудой. Поначалу мы с другом наерегонки писали скрипт по подбору кода, но потом это стало неактуально. Пользуйтесь :)

21.07.2011 10:34   Денис

Артем, проверьте автозагрузку и службы. пуск-выполнить-msconfig

кстати, антивирь аваст 6 фри по умолчанию загружает новое и неизвестное в "песочнице" - попробуйте.

А вообще - нужно смотреть на месте. С этой разновидностью пока не сталкивался.

21.07.2011 10:39   Денис

Артем, кроме того, можно попробовать остановиться на пункте Винлогон и, если под рукой есть "здоровый" комп, зайти на нем туда же и сравнить значения переменных.

21.07.2011 12:43   артем

Может у меня вирус не тот, не смсный, для оплаты требует 200грн на номер U192953350689. даже гугл молчит.

21.07.2011 12:45   Александр

Спасибо. Все получилось.

21.07.2011 12:49   Денис

Артем, да, статью я написал на основе лечения не смсного, а именно вебманьного вируса, но требовал он 150 гривен. Если вы в Кировограде - звоните.

25.07.2011 09:46   Сокол Дима

Да уж, гей-порно это круто :)
Ко мне девушка пришла, знакомая, стесняется, красная, говорит помоги, но мне как-то не удобно )))))))) я все понял и помог. Денис - пис энд риспект !!!

25.07.2011 11:02   Сокол Дима

Да, кстате, в моем случае, зараза сидела тут в ключе HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run звать заразу indicdll с параметрами запуска shellexecute.exe/h — indicdll.cmd
В моем случае, без LiveCD не обошлось.
Банер был вебманевский, просило 200 грн. Безопасный режим с поддержкой командной строки не загружался, банер перекрывал все окна.
Мож клму и приготиться.

25.07.2011 15:38   Денис

Дима, ре: пис и риспект, уверен, что твой камент не останется без внимания.

Уважаемый комментатор, писавший о гомосексуалистах на букву пи. Ваш камент я не пустил, ибо нецензура маздай. Поможет вам ливсиди и камент Димы Сокола.

25.07.2011 23:29   Юрий

Меня комп не пускает в командную строку!!!Перечитывает виндовозные файлы и ВСЕ по-ПРЕЖНЕМУ - "ЧУВАКИ" на экране!

25.07.2011 23:54   Денис

Юрий, злоумышленники тоже читают эту тему :((

Вам поможет ливСиди с возможностью редактировать реестр. Камент Димы Сокола от 25.07.2011 11:02

26.07.2011 09:09   Сокол Дима

Юрий, вам скорее всего, ко всему сказанному, нужно будет скопировать в Windows\system32 заведомо не зараженные файлы: userinit.exe и taskmgr.exe т.к. этот "гей-порно" банер меняет именно их.

26.07.2011 15:34   Иван

Автор, спасибо огромное, ты мой герой))

26.07.2011 15:44   Петр

У меня тоже такой банер вылез, для оплаты требует 200грн на номер U который постоянно меняется (чтобы сервис WM ихние кошельки не забанил). Уже выше перечисленные методы не проходят, "мутирует" гад... перебивать винду принципиально не буду.

26.07.2011 16:16   Денис

Иван, всегда рад помочь, но героем быть пока не готов )
Петр, мне интересно было бы покопаться в таком вирусе. Подскажите, где вы его словили? Я зайду на этот же сайт и нажму на этот же баннер, результат выложу в тему. Где гей-порно лежит? ;)

26.07.2011 21:40   DIMIDR0L

Удалил заразу,а теперь при запуске винды выдаёт ошибку explorer-ра,я даже не знаю что делать.За то банер пропал.

26.07.2011 23:04   Денис

попробуйте запустить эксплорера из-под 3 пальцев. Если загрузится, значит в реестре сбивается его инициализация

27.07.2011 07:09   Владимир

Огромное спасибо автору. Сидел за компом сына и поймал фигню на 120 грн. Слава богу есть нетбук. Я далек от понятия командной строки, но все получилось!!! С удовольствием изучу Ваш сайт. Еще раз огромное спасибо!!!

27.07.2011 10:01   DIMIDR0L

Денис,3 кнопки работают,но при запуске Explorer-ра выдаёт ошибку.При подробной информации пишет UserMod:user32.dll(кажется так)
И при замене фала explorer все равно не работает.Выдаёт ошибку.Пробывал сделать чтото в безопаске с поддержкой командной строки.Запускал прогу AVZ и восстанавливал пути к ключам.Всё та же проблема.В простом режиме три пальца работаёт.Но как только я нажимаю файл-->Выполнить,у меня очень маленькое окно,без кнопок закрыть,свернуть,и выполнить тоже нету.Единственное что работает безопаска с поддержкой.

27.07.2011 13:31   Евгений

У меня в безопаске не грузиться ни в каком режиме, синий экран. мОГУ ЗАГРУЗИТЬСЯ ЧЕРЕЗ Лив сд но толку...?

27.07.2011 15:00   Богдан

Автору спасибо!
DIMIDR0L -- там скорее увсего уже полетели установки файла "32" -- вероятноть переустановки Win -- 85%.
Кстати Евгений -- то же самое. Хотя ещё может быть проблема НЖМД, видео и оперативной

27.07.2011 19:10   Денис

Сегодня помогал избавиться от этой вирусни, подцепленной на каком-то видеосервисе на вполне безвредном фильме. требовал вирь 120 гривен на кошелек вму. методика помогла.

27.07.2011 20:12   DIMIDR0L

А где или с помощью какой проги можно восстановить файлы?
(Точки отката нету)

27.07.2011 22:20   Денис

можно попробовать скопировать юзеринит, юзер32 и таскмгр со здоровой машины. Не факт, что поможет, но попробовать стоит.

28.07.2011 11:07   Лена

Подскажите пожалуйста,я все этапы уже проделала,запустился рабочий стол,(зарание записала путь к заразе),и как мне теперь пройти этот путь к заразе и удалить его?

28.07.2011 11:32   Денис

Лена, заходите в мой компьютер, дальше по пути: диск С, папка Program Files и так далее, как там у вас. Путь может быть разным. В последний раз я встречал: цэ, програм файлз, опера, файлик 0.0985948598349058-9.ехе или что-то подобное.

28.07.2011 12:46   Леший

Динис, у меня нет ни 1 из таких папок (HKLM) только 4 папки HKEY... искал везде ,немогу найти вируса подсажи в какой из 4 папок хоть искать и есть ли там Shell ? Так как не в каждой папке он есть вообще.

28.07.2011 12:49   Денис

По просьбам трудящихся написал файлик, удаляющий злобный вирь из реестра. Читайте новость! Ссылка в основном тексте, отскрольте вверх. На всякий случай сохраните файл себе на флешку. Тогда вместо D:\ нужно будет вставить флешку и набрать ее букву, например F:\antigay.reg

28.07.2011 12:50   Леший

Кстате вирусачь требовал 120 грн в тичение 12 часов

28.07.2011 12:54   Денис

Леший, HKLM - это HKEY_LOCAL_MACHINE
Более того, прочитайте свежую новость на сайте - может так будет легче.

28.07.2011 12:55   Денис

да, суммы варьируются от 120 до 200 гривен.

28.07.2011 13:07   Леший

Динис,прешел по HKLM-software-Microsoft-WinNT-current version-Winlogon нет Shell,просто 4 папки))) на счет новости на сайте еси вы про флешку то непойму я этого,хочу как написано найти и все зделать

28.07.2011 13:22   Денис

Леший, да, став на винлогон, вы увидите 4 папки в левой части экрана, а в правой - много различных параметров. Один из них - shell.

28.07.2011 14:32   Леший

Денис,Спасибо огромное,все нашел и имя вируса в цыфрах на диску С.Но если не сложно ответьте еще пожалуйста почему в у меня вырубаеться комп? не успеваю все проделать.А иногда вырубаеться только выбираю «безопасный режим с поддержкой командной строки» и через минуту тухнет камп(

28.07.2011 17:04   Катерина

Господи, как я вас люблю! Машина корпоративная, все же перед сис админом было бы неловко. Убила тварюку. Уррраааа. Еще раз спасибо

28.07.2011 17:26   Денис

Леший: всегда пожалуйста. На счет вырубания компа - тут причин много может быть, это нужно смотреть лично. Возможен перегрев, аппаратный сбой...что угодно.

Катерина, с момента о любви поподробнее, пожалуйста :)

28.07.2011 17:41   Катерина

Денис))))) Я даже не знаю куда уж подробнее. Поробую: итак, когда я увидела у себя на Рабочем вот это, естесвенно настроение моё испортилось, стало плохо и неприятно (особенно при осозновании того что прийдется обаращаться за помощью к сисадмину и обьянять ему что я не вкоем случае не рассматрию голых детей и мужиков которые любят мужиков)так вот, села за ноут и великий гугл предоставил мне путь во имя моего спасения на вашу сслыку, сделав все пунктам (приблизительно как котлеты по рецепту) при загрузке увидела свой раб стол. И тут я поняла дЕнис, что я вас люблю. Ну и за избавление от позора и прочих пересудов сотрудниц которые меня не очень любят посылаю вам свой метальный :-*



ну самые

28.07.2011 22:48   Катерина

*ментальный

29.07.2011 09:26   Саша

Денис,я удалил вирус,но после перезагрузки ниче не изменилось кроме того что вирус пропал.Нет на робочем столе ничего и пкм не работает,только контрл+ альт+ дел. Я что то не так зделал?

29.07.2011 10:29   Денис

Саша, скорее всего вы удалили причину вируса, но не поправили следствие - ключик в реестре обращается к несуществующему файлу. Измените его на explorer.exe

29.07.2011 10:35   Саша

я удалил его в корзину))) тперь у мя их 2 в крозине и на С

29.07.2011 20:09   Саня

Деня все делал как ты описал,когда выбираю «безопасный режим с поддержкой командной строки», появляеться синий экран с таким текстом - "STOP: 0x0000007B (0xF88B6528,0xC0000034,0x00000000, 0x00000000)

29.07.2011 21:00   Сокол Дима

Если слетели системные файлы после лечения от вируса, запускайте: sfc /scannow - проверка целостности системных файлов.
Запускайте из командной строки: Пуск | Выполнить | cmd | sfc /scannow

29.07.2011 22:56   Денис

Саня, это ошибка винта. Попробуй в биосе в настройках саты поставить IDE mode, знаешь, как на ноутбуках при установке ХР

29.07.2011 22:58   Денис

Дима, ты бесценен. Помницца, доводилось выполнять ту же операцию, только fsck -y

30.07.2011 02:25   Саня

Обшарил весь биос и никаких сатов не обнаружил.Можишь обяснить что за саты и где их искать???!!!

30.07.2011 08:05   Денис

Саня, начнем по порядку. Жесткий диск соединяется с материнкой широкой такой кишкой или узенькой? Сам комп старенький уже или недавно куплен?

30.07.2011 09:42   Женя

Можно в редактор реестра найти папку shell поиском а то вручную не могу найти ;( ?

30.07.2011 09:52   Женя

Не могу найти папку shell ;( можна поиском воспользоваться ?

30.07.2011 10:55   Денис

Женя, в новостях есть ссылка на файл, который сам все найдет и сделает.

30.07.2011 10:56   Олег

Дошел в редакторе реестра до Winlogon, однако же не нашел в нем Shell. Или я чего-то не понял? Есть - "(по умолчанию)" даже без имени. Дальше: BuildNumber, дальше: ExcludeProfileDirs; FirstLogon; ParseAutoexec. Все!?

30.07.2011 11:08   Женя

Спасибо попробую ;)

30.07.2011 11:17   Олег

Денис, нашел папку Shell Extensions, а в ней Cached. В Cached файлы с длинными именами из цифр и значков... Я на правильном пути? Что дальше?

30.07.2011 11:18   Саня

Соединяеться широкой кишкой, компу примерно 5 лет.

30.07.2011 11:26   Олег

Скачал на флешку Ваш файл, но не помню какой диск на PC обозначается когда подсоединяю флешку. Пробовал в командной строке писать начиная с У по J, безрезультатно.

30.07.2011 11:34   Олег

с типом файла *.exe не могу найти ничего...

30.07.2011 11:42   Денис

Олег, попробуйте быть чуток повнимательнее, я ведь написал HKLM - то есть локал машин, а вы куда зашли? в Каррент юзера? Там не найдете ;)

30.07.2011 12:02   Денис

Саня, попробуй сбросить настройки биоса. Ну, то есть load setup defaults

Не поможет - нужен ливсиди. Первым делом нужно прогнать скандиск: chkdsk c: /f

30.07.2011 12:35   Julia

Denis)) spasibo, spasibo ogromnoe))) Vy menia spasli! bez Vas by umerla so styda navernoe)) spasibo!!

30.07.2011 12:39   Денис

Юлия, смерть от стыда - не лучший выход ) Читайте новости и статьи сайта, задавайте вопросы на почту.

30.07.2011 12:42   yulia

spasibo,Denis))

30.07.2011 13:08   Володя

Дуже дякую, що виручаєте)) все працює))

30.07.2011 14:39   Евгений

подскажи еще нормальный антивирус плс ?

30.07.2011 14:44   Саня

Все ОК) Проблема вирішена - поміняв вінду)

30.07.2011 14:48   Денис

Евгений, лучший антивирус - это вы. У каждого человека есть свои предпочтения. Я пользуюсь Аваст 6 Фри как резидентным антивирем. ДрВебом периодически провожу проверку: бывает он за авастом находит, бывает аваст за ним. виндовс вормдор клинер, сиклинер, эйтиэф клинер и прочие тузлы для чистки темпов.
Милейшая тема - сэндбокс, он же песочница. Лично я впервые встретил у Ккаспера, сейчас(с 6 версии) есть в Авасте. Многие жалуют каспера, нода или авиру с пандой и джидатой, но! Антивирус должен быть лицензионным для полного взаимодействия пользователя с производителем.

30.07.2011 16:49   Freekee

Спс помогло

31.07.2011 16:38   Денис

Саня, эх чуток не дотерпел ты)) В твоем случае вирус другой, мне сегодня попался такой у клиента. Поборол быстро, сейчас напишу новость.

31.07.2011 17:02   Денис

Читаем новости, если у вас при попытке зайти в безопасный режим выбивает синий экран.

01.08.2011 14:52   Александр

При загрузке в без. режиме выдает синий экран, загрузился с лав сд, в реестре HKLM-software-Microsoft-WinNT-current version-Winlogon — Shell прописано explorer.exe, где искать. Спасибо.

01.08.2011 15:31   Денис

Александр, мой комментарий прямо перед вашим говорит о том, что можно почитать новости. Последняя новость - метод борьбы с этим вирусом (в вашем случае он немного видоизменен, но бороться можно)

02.08.2011 18:08   Энди

Все сделал как вы сказали, только при перезагрузке появляется черный экран с одной стрелкой мыши. Не подскажете что делать?

02.08.2011 19:13   Денис

Энди, возможно когда вы правили реестр имела место очепятка. Проверьте ещё раз синтаксис прописанного вами explorer.exe

02.08.2011 19:32   Энди

А где это проверить? Дело в том, что я просто удалил тот злокачественный файл и все. А потом через три кнопки запускаю диспетчер задач, там прописываю explorer.exe и вроде бы все работает, вот только рабочий стол он не показывает.

02.08.2011 19:37   Денис

Энди, HKLM-software-Microsoft-WinNT-current version-Winlogon — ищите пункт «Shell» и дважды щелкните ЛКМ по нем

Там должно быть explorer.exe

02.08.2011 22:00   Энди

Денис, большое вам, человеческое спасибо! Избавили от лишних и ненужных напрягов и очень сэкономили время.

02.08.2011 22:25   Денис

Энди, я написал файлик для ещё большего упрощения процесса, читайте новости ;)

02.08.2011 22:52   Petro

Спасибо, всё сработало!
А после того, как я удалил вирус по указанному пути "HKLM-software-Microsoft-WinNT-current version-Winlogon — ищите пункт «Shell»", сам автозагрузчик вируса, где искать? Как узнать, что его нет в автозагрузке?

04.08.2011 03:11   Серега

Все сделал но заразу найти не могу. Как мнепройти по этому пути с\user\ae4a^1\appdata\local\temp\0.4330662924291504.exe ???
А флэшкой немогу, сижу через iPod.(((

04.08.2011 08:21   Денис

Серега, начать нужно с мой компьютер, а дальше - по пути. Возможно придется показать скрытые файлы. Панель управления->Оформление и персонализация->Параметры папок, вкладка ВИД, скрол до низа, в пункте скрытые фаилы и папки ставим точку на показывать скрытые фаилы, папки, диски

04.08.2011 08:53   Сокол Дима

Ребята, всем, кто копался в реестре, нужно обязательно проверить еще один ключ реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"
Обратите внимание, что после userinit.exe стоит запятая, она обязательно должна стоять в ключе реестра.
Спорим, что у всех у вас в этом ключе стоит просто "userinit.exe" вместо полного пути к этому файлу ?

04.08.2011 09:35   Денис

Дима, благодарю за прекрасный ман. Большинство комментировавших вряд ли зайдут на вики дрвеб, чтобы с ним ознакомиться, так что надеюсь, все всё пофиксят. От себя добавлю, что в этом ключе после той самой запятой может быть приписка, а имя файла совпадает с тем, что стоит вместо експлорер.ехе в шелле. Если вы удалите файл-источник, запись в реестре по идее стает безвредной, но тем не менее - неверной. Всем слушаться Диму Сокола - когда он не троллит, он дело говорит!

04.08.2011 16:17   Серега

Смог убить заразу с помощью веба в без. Режиме. СПС за помощь.

05.08.2011 12:22   Андрей

Все сделал так как ты говорил но пункта «Shell» нет што делать

05.08.2011 12:32   Денис

Андрей, пункт шелл есть. Что делать? 1. читать все комментарии, уже такой вопрос был. 2. читать новости - там есть файлик, который находит шелл и все делает сам.

11.08.2011 14:03   Антон

стрелки в в командной строке не отвечают что делать?

11.08.2011 15:09   Денис

Антон, что означает "стрелки не отвечают"?

11.08.2011 15:22   Антон

не перелистывают не верх не вниз

11.08.2011 18:29   Денис

Антон, вам не нужны стрелки в безопаснике. Мышь вообще не нужна, пишите с клавиатуры.

12.08.2011 01:58   Денис Огурцов

Спасибо за информативную статью. Помогла! +100500 Вам!)

13.08.2011 21:25   Andrey

У меня не было в шеле ничего подобного - прописалось в автозагрузку файл video.exe.
Запускаем в безопасном режиме msconfig и вірубаем из автозагрузки, вуаля.

13.08.2011 22:11   Денис

Андрей, и зачем это я описываю уже 4 разновидности этого вируса, а? Все ведь просто - дело в автозагрузке ;)

14.08.2011 20:07   Орест

В мене вирус просят 200грн на вебмани с номером U 295953831445 как ево обоити

14.08.2011 20:20   Денис

Орест, попробуйте выполнить действия, указанные в этой публикации и трех!!! других, схожих(в новостях и в этом разделе).

Давайте будем пробовать читать комментарии, в них много интересного пишут!

14.08.2011 23:18   Justice

Спасибо!!!
Все по инструкции, пять минут и вируса нет ))))

15.08.2011 10:06   norbert.doofus

По поводу информера как у Ореста, где просят скинуть деньги на кошелек U295953831445.
Там все очень и очень хитро сделано - вредоносный код прописывается в MBR (главная загрузочная запись) на жестком диске, и не помогает ни одна программа восстановления - только полная перезапись этого самого MBR.
Нужно загрузить альтернативную ОС, типа LiveCD, WinPE или miniXP (Hiren's Boot CD), который я и использовал, запустить утилиту BOOTICE (скачать перед этим с интернета), там выбрать загрузочный жесткий диск и нажать кнопочку Process MBR. Выскочит окошко с выбором установленной ОС - Windows NT 5.x MBR это Windows XP, Windows NT 6.x MBR это Windows Vista/7. Дальше жмем кнопочку Install/Config и подтверждаем наше действие. Перезагружаемся и радуемся чуду!

15.08.2011 12:02   Mr Olabin

Все что нужно сделать, сразу после загрузки Windows вызвать диспетчер задач, и завершить процесс "27"
А потом удалить файл "27.exe" в system 32)
Просто!

15.08.2011 12:07   Александр, Николаев

Сегодня попался банер, грузится еще до F8, прибил при помощи Kaspersky WindowsUnlocker

15.08.2011 13:43   Денис

и снова повторю - я это все уже расписал. бутайс можно юзать, но вебом-то проще, а? http://www.skd.kr.ua/faq/borba-s-virusami/virus-blokirovshchik-za-gey-porno

15.08.2011 19:41   norbert.doofus

Однако, все гораздо элементарнее.. =)) Я, честно говоря, даже и не думал запускать CureIt, так как сразу понял, что вирус прописался в MBR, и был уверен, что CureIt туда не полезет!.. Ошибался =))))

15.08.2011 19:48   norbert.doofus

Да, кстати... Не все так гладко лечатся! Цитирую:
>> ...бла-бла-бла....
>> Пробовал LiveCD Dr.Web, Kaspersky Rescue Disk и др.
>> Помог только алгоритм от norbert.doofus
Хотя, вполне возможно, человек что-то не то делал. =)
Так что, имейте на заметке!.. =))

15.08.2011 21:42   Денис

Норберт, огромное спасибо за ценный ман. Думаю, он не раз ещё будет в ходу.

17.08.2011 10:25   Александр, Николаев

К сожалению вебом у меня ни разу не получилось. Вообще ни находит.

17.08.2011 11:42   Денис

Александр,

все зависит от случая, который у каждого конкретного человека. Если у вас мбр-лок - веб поможет 100%. Если нет - помогут другие методы, читайте.

17.08.2011 11:49   Александр, Николаев

Не спорю

18.08.2011 10:23   Лера

У меня сегодня утром появилась такая видать фигня на ноуте...
Перед стартом винды появилось окошко с сообщением о блокировке за просмотр, копирование и тиражирование детского порно.Конечно же и веб- кошелек присутствует..

Я уж в начале думала может детвора пошалиша на сайтах, хотя я за ними не замечала подобных пристрастий..

С чего мне начать?? В биос войти могу..

18.08.2011 10:28   Денис

Лера, если фигня появилась ДО загрузки винды, вам в другую тему: http://www.skd.kr.ua/faq/borba-s-virusami/virus-blokirovshchik-za-gey-porno

18.08.2011 10:58   Лара

спб..

18.08.2011 11:00   Денис

Нее, я не из С-Пб, я из Кировограда ;)

18.08.2011 11:24   Лера

Ну ты прям меня засмущал..

18.08.2011 11:29   Лера

Live-cd это просто загрузочный диск с системой??

18.08.2011 11:41   Денис

Лера, да, это простой загрузочный диск. Например HIRENS, ZVER, DrWeb(да, у веба есть свой ливсиди)

18.08.2011 13:39   Лера

Уже скачала iso образ,тот что DrWeb предложил..Еще раз спасибо..

18.08.2011 14:42   Денис

Лера, жду результаты лечения в комментариях. Кстати, думаю, так будет легче выбрать метод лечения: http://www.skd.kr.ua/news/kak-vibrat-lechenie-porno-virusa

24.08.2011 13:37   Серега

на ноуте не работает F8, запускает только биос

25.08.2011 10:50   Kava

блин ничего непомогает(((( livecd незапускается, рабочий стол негрузиться, ничего из описанного непомогает((( в безопасный режим зайти немозможно(((

26.08.2011 14:12   Серж

От маладец,=) Питрясян прям)) спасиб за инфу)

26.08.2011 15:37   Денис

Серж, твой скепсис неуместен :)) ИМХО, лучше так, чем сухо выкладывать факты, пронизанные презрением к юзерам, которые ничего не могут сделать сами, так что я вроде как не петрасяню :)
Если это был комплимент, то напомню, что Ваганыч действительно жжжжог только тогда, когда Задорнов писал не только для себя и не только про пиндосов. Но это уже оффтопик

30.08.2011 22:17   андрей

Не буду много писать. Спасибо огромное за помощь, дай бог вам здоровья!

30.08.2011 23:18   Сергей

Привет, всем! У меня сегодня в нет-бук влез вирус и заблокировал винду, по причине яко-бы я порно распространяю... и требовал 110 и 130 грн оплатить через вебмани. Спасибо автору за советы, где и как искать файл вируса. Оказалось файл находился в : c:\windows\Temp\wpbt0.dll После удаления файла работа компа восстановилась.
Вот кошельки на которые требовал оплату: U135240092904, U297985524653

31.08.2011 23:02   Рома

Спасибо! Дай Бог здоровья автору!

03.09.2011 13:43   Саня

Где искать Trojan.MBRlock 6?загрузился с Live Cd,появился доктор веб сканер,просканировал вроде нашло, удалил перезагрузил,нифига,что делать?где искать?

03.09.2011 22:00   Roma

Дякую. Все получилось)

04.09.2011 12:02   Serge

Спасибо большое!
Все с ходу получилось

06.09.2011 10:03   Руслан

Здорово всем :) Опишу разновидность, которая попалась знакомой. Тот же вирус, те же требования, но при загрузке с ливсиди (в безопасном даже с коммандной строкой та же хрень)в ЕРД указал папку нужной винды, потом редактор реестра, в винлогоне все удалил, переписал на эксплорер, проверил оба рана, потом удалил вирус в апликейшн дате... перезагрузил комп - банер на месте, все по новой только теперь в темпах нашел файлик вида цыфра точка много цыфр ексе :) удалил и его (решил, что это он перезаписывает вирус в дату заново). проверил вебом - показал, что комп девственно чист. Но воз и ныне там - походу нужно мбр переписывать... Комментарии, рекомендации - жду :)

06.09.2011 10:33   Денис

Руслан, диск с виндой-восстановление из консоли, фиксбут-фиксмбр

06.09.2011 10:47   Руслан

Вот и я так подумал :) Нужно прогуляться к знакомой или мужу ее позвонить - пусть делает :) (Не люблю нерешенные проблемы (с компами) - таких еще пока не было :)))
)

07.09.2011 07:53   Руслан

Привет! Фиксбут-фиксмбр не помогло
:( Новый курейт тоже... Вредный такой вирус - воостанавливается после удаления непонятно откуда...

07.09.2011 10:54   Денис

Руслан, темпы чищены? Хотя эти новые вири маскируются под syschtototam32.dll типа весь такой из себя системный библиотек. Слышал у ХИРЕНСа есть восстанавливался МБРа, но, честно, не юзал...

07.09.2011 16:10   КреOlka

ух ты))))))) всё вышло)))ну очень мерси..пошла скачивать антивирус какой-то)

07.09.2011 20:34   Настя

Сегодня и у меня такая хрень! Пишет комп блокирован и просит 200гривен! Читала ваши советы, нажымала f8, выбрала командную строку и дальше стрелки влево вправо неработают!я перезагрузика комп и снова нажала f8 но появилось маленькое синенькое окошко и там чето непонятное написаное! Прошу помогите!

07.09.2011 21:04   Денис

Настя, помогаю. Пригласите специалиста, пусть он все сделает быстро и правильно.

07.09.2011 21:32   Настя

Файли на компе сохраняються после етого?

07.09.2011 21:36   Денис

Настя, да, конечно. Удаляется как правило 1-2 зараженных файла.

08.09.2011 08:26   Настя

Денис, скажы пожалуста, если я начну делать установку виндоса, что прм етом измениться с той фигней?

08.09.2011 08:38   Денис

Настя, та фигня лечится достаточно просто и быстро, а главное - совсем без перестановки Виндоус. Если вирус ИМЕННО такой, который описан в этой статье, он будет удален. Хотя перестановка в данном случае не нужна.

08.09.2011 16:02   Руслан

Денис, почищены и темп и темпорари интернет файлз, даже кукиз на всякий случай - но ничего не помогло... Как я ужн писал сам файл вируса был найден и удален, также был найден и файлик , который перезаписывал его, но, походу, где-то есть еще копия перезаписывающего файла... По-работе начиная с 2008 года удалил кучу таких банеров, но это что-то новенькое - интересно разобраться... Так что жду чотрудничечтва в это сфере :)

08.09.2011 16:11   Денис

Руслан, файлик может быть где-то подло заныкан, а вызываться обычным раном. Стоит проверить HKLM-software-microsoft-windows-currentversion-run, и то же самое в HKCU.

08.09.2011 19:47   Руслан

Денис, чтоон заныкан, и причем, весьма подло - даже не сомневаюсь :) А об этих ветках реестра - я псал еще в первом сообщениии - все "вроде бы" чисто...

08.09.2011 20:17   Денис

Руслан, а в префетчере его часом нет? Реестр можно не дергать, а вот виндавс/префетч? Вдруг он "ускоряет" запуск вируса?

09.09.2011 15:07   Павел

Спасибо за методику лечение, помогло.

09.09.2011 16:26   Руслан

Денис, к моему огромному сожалению, муж знакомой не выдержал испытаний и переставил винду... Так что так и не узнаем где собока порылась.... :)

09.09.2011 17:23   Денис

Руслан, да, жаль, конечно :) Может быть троянец был одним из типичных, но его "подкрепляли" прочие бациллы с компьютера клиентки? Ну, гадать можно до бесконечности. Главное - работает!

09.09.2011 20:55   Руслан

Кстати, Денис, мы почти соседи - по городам :) Я с Кривбасса :)

10.09.2011 00:54   Андриана

Спасибо вам большое !!! все работает, вирус убит ))) назывался 43.ехе и просил уже 200 грн, подорожал видимо))) огромное спасибо Вам еще раз!

10.09.2011 18:29   adina

Автору спасибо-при-спасибо!!!Я уж думала надо будет ОС менять,но не пришлось.а еще в WM написала .И даже ответ пришел,что меры приняты.

11.09.2011 11:22   Дима

Привет! Вирус есть! А решения нет(. При загрузке в БР с ком. строкой, эта гадость также вылезает? Есть ли этому решение? Где оно сидит в таком случае?

11.09.2011 11:26   Денис

Дима, в любой ситуации есть минимум 2 решения: одно правильное, второе неправильное. Решение есть: видит там же, в реестре, в том самом ключике. Бороть только с помощью лив-сиди.

11.09.2011 11:43   Дима

Да, Денис, спасибо. С лайв сд это дело хорошее. Я думал какое-то решение есть без лайв сд. похоже пока нет. А если запустить восстановление виндовс с cd? не спасет?

11.09.2011 15:24   Денис

Дима, восстановление винды - дело хлопотное, а в случае с этим вирусов-баннером достаточно поправить 1 ключик в реестре.

12.09.2011 16:29   Олег

Знаете я бы б.я ставил к стенке тех хакеров которые такое делают!!! Вы не предстовляеете как я обосрался за последний час. И самое главное Я не копался ни в какой порнухе и всё равно залетел. Думал: ну всё хана компу. Востановил систему и всё чики пики.

P.S. Перед решающим включение чуть сознание не потерял в ушах стало свистеть. Так что спасибо в а "добрые" хакеры которые чуть не довели меня до потери сознания!!!

12.09.2011 18:13   Антониоу

Спасибо большое, помогло, только вот теперь что думать об отце, у которого на компе водилась эта зараза ?

12.09.2011 21:22   Денис

Олег, ага, мне буки приносили с явным запахом валидола или корвалола.

Антониоу, вдруг бы ваш отец интересовался гей-порно, вы бы не писали этот комментарий, правда? При мне милая девушка подцепила такой вирус качая дочке мультик.

13.09.2011 13:46   Руська

Спасибо ОГРОМНОЕ , если бы не вы ,то даже не представляю что подумали бы о бо не родители =)

13.09.2011 18:49   Дима

У меня виндоус 7 максима Камп сам перезапускаетса и при загрузке вибивает 150гривен на веб маней 380668837209 ф8 не работает в комп доступна тока ф12 што делать?

13.09.2011 19:56   Денис

Дима, загрузитесь с ливсиди и проверьте автозагрузки и шелл.

14.09.2011 17:44   0662002002

Сегодня столкнулся с запросом денег на телефон "380668837209". Во-первых, вирус прописан в бутсекторе диска, во-вторых, удаляется за 3-4 минуты если есть LiveCD с помощью опции восстановления MBR диска.

15.09.2011 15:42   Xoma4ok

У меня уже просит 220 гривен U386933886799, и ни что не помагает! Не пробував лив сиди. Розкажите где скачать и как пользоваться!

15.09.2011 16:00   Андрей

Сайт в закладки! Комп вылечен, спасибо. Сейчас еще на всякий случай куритом просканирую.

15.09.2011 20:11   Руслан

Денис, доброго времени суток. Попался снова самовосстанавливающийся вариант - всеп ухищрения опятьне помогли - пришлось переустанавливать... Пришел домой, решил еще почитать в инете - нашел статейку несколько противоречивую (но описанная вариация вируса очень похожа на встреченный мной), но в ней интересная идея - человек пишет, что почистив систем волум информейшн на диске Д избавился от заразы (типа с каждой перезагрузкой просто шло восстановление системы). Если попадется еще такой - буду пробовать бороться еще и этим методом. Всем на заметку :)

15.09.2011 20:31   Денис

Руслан, я даже больше скажу! Мне попался этот красавец (он просто с картинкой). Что сказать, написавшие потрудились на славу! Был в:
одном из ранов(HCCU), виндоус(в корне), на рабочем столе, эпликейшн дата активного юзера и в recycler системного диска в первой подпапке. По концовке нужно было прогнать sfc/scannow для восстановления winlogon файлов типа юзеринит. Вот :)

15.09.2011 21:08   Руслан

Денис. а чем искал? Прогонял и курейтом и авз , и остальной порнографией :) - никто его не нашел (то что в реестре было прописано, я на этом момент уже удалил с компа, правда потом все-равно восстановилось :) )

15.09.2011 21:22   Денис

Да, реестр - лишь следствие. Я искал руками. Признаки: 0.94329874637264.ехе или подобный, а также hosts(скрытый), host5 в соответствующей папке и в рисайклере.

15.09.2011 21:36   Руслан

В темпе типа 0.94329874637264.ехе удалял, хостс не видел - может и был где-то :)

16.09.2011 00:04   Миха

Спасибо автору за то что напомнил о существовании командной строки

16.09.2011 01:08   Макс

У меня вобщем тоже самое ну я не могу понять я ничего не скачивал не загружал сижу в нете читаю новости и тут комп вирубаетса а когда я влючил написало ВОТ ЕТО типа вы роспостряете порнографию...заплатите...что делать?помогите!..(

16.09.2011 06:59   Денис

Макс, глубокий вдох, все в полном порядке, ничего страшного не произошло. Ну порно, ну гей-порно, жизнь-то не заканчивается, правда? Попробуй почитать описание и справиться сам. Не сможешь - пригласи специалиста.

16.09.2011 21:10   Денис

Руслан, есть решение! Я подготовлю публикацию на тему нового вируса и методов борьбы. В двух словах: в реестре шелл меняется. По пути можно отследить бациллу и убить. Заражен и лежащий рядом десктоп.ини, а также в рисайклере есть дублирующийся бацилл для восстановления.
Подменяется юзеринит в систем32 и в кеше дллок, равно как и таскмгр там же в 2 местах. Настоящий юзеринит лежит в той же папке, но с именем 013-чётотам.ехе
Есть бутявые диски и мануэль для лечения, подробнее - в публикациях.

16.09.2011 22:06   Игорь

Старик, девочка с той же бедой пришла...
я хер его, но при загрузке командной строки выдает прес ентер для загрузки SPTD.sys, дальше командная строка в которой не чего не пишет, я думал трабл в клаве подключил к ноуту свою клаву все равно не хочет... старик подскажи что делать!!! желательно сегодня) заранее спс, да кстати ХР стаит на ноуте...

17.09.2011 07:14   Денис

Игорь, "прес ентер для загрузки SPTD.sys," - ты ведь жмакнул энтер? Потом бы загрузка пошла дальше и все бы писало. А если бы нет - пригодился бы лив-сиди.

17.09.2011 18:08   Игорь

Спасибо... еще вопрос, лив сиди проверяет уже 6й час подряд два диска... это так должно быть?) и по исходу оно снимет спам???

17.09.2011 20:59   Денис

Игорь, лив-сиди - это диск с операционной системой, загружаемой с него в оперативную память. Проверяет скорее всего антивирус. Какой? Что именно писал троян? Какого цвета фон? Я в новостях писал как распознать конкретный тип блокировщика и подобрать правильное лечение. Проверка Вебом помогает ТОЛЬКО если троян активируется до загрузки винды.

17.09.2011 22:24   игорь

красный, белый... синий,ну и там два мужика в жопу... дальше, лив сиди проверил все в течении 8,5 часов, нашел 4 или 5 критических ошибок... я их удалил... перезагрузил, нечего толком не изменилось... в команд строке как не писало так и не пишет... спам висит.. и все... я не знаю что делать, да, и винду перебивать неохота... просто у нее на винте инфы много она хочет сохранить, но у нее винт не саташный.. я немогу его приконектить к своему компу...(((
Ден помоги!)

17.09.2011 22:40   Денис

Игорь, да, есть такой вирь, видел вот недавно. Он подменяет файл userinit кроме всего прочего. Самый простой способ - сделай себе другой ливсиди с http://www.antiwinlocker.ru/ - там в скачать есть AntiWinLockerLiveCD.iso

Грузись с него, кнопка автоматически, галки напротив красненький и дальше по смыслу.

18.09.2011 11:14   Игорь

Ден, буду дальше знать..)
но уже ночью перебил винду... у меня есть загрузочный диск с виндой обрезаной, я инфо скопирывал, и перебил)))) так что спасибо большое)
вот еще вопрос в тему, тот архив по предупреждению болячки, норм работает??
я просто себе установил да и друзьям посоветовал)

18.09.2011 17:15   женя

кто знает код

18.09.2011 18:33   Денис

Женя, я думаю код знают по адресу: ctulhu@rlieh.ru

18.09.2011 21:01   Руслан

Игорь, если диск у подруги не "саташный",то есть как минимуи 3 варианта... Либо в своем компе садим ее шлейф на IDE и копируем, что нужно, или покупаем максимум за 15 грн. переходник сата - иде и садим уже на свой сата либо загружаемся с лив сиди и скидуем нужную инфу на флешку или на юсб-привод. есть еще варианты - но это основные.
P.S. Денис, привет.

19.09.2011 16:29   макс

спарибо огромное

19.09.2011 16:37   Макс

Огромное спасибо!!!

19.09.2011 21:26   Андрей

Народ не запускаеться командная строка, чё делать? Появляется синий экран

19.09.2011 22:52   Руслан

Грузиться с ливсиди...

20.09.2011 12:08   игорь

денис делаю все как написано жму вискакивает Please select boot device:1)1st FLOPPY DRIVE. 2)CDROM:PM-ASUS DRW-1612BL 3)HDD:3M-SAMSUNG HD321KJ че делать?

20.09.2011 13:46   Андрей П.

Огромное спасибо Денис. Твои советы помогли за несколько минут избавиться от вируса который ты описал здесь http://www.skd.kr.ua/faq/borba-s-virusami/blokirovka-za-gey-porno-i-detskoe-porno . Хакеры требовали 200 грн. иначе пропадет вся винда и биос. Удачи тебе и новых решений.
P.S. На каждого хакера найдется антихакер.

20.09.2011 16:02   Денис

Игорь, комп спрашивает: с чего грузиться будем? Выбирай винт, который самсунг, и продолжай жмакать ф8

21.09.2011 12:00   Дима

сегодня требовали 200 грн. на кошелек U251837518877. Спасибо, Денису, вирус по описаному выше алгоритму действий побежден.
У меня также сначала Please select boot device. Выбрал HDD. И дельше по схеме. Разве что, HKLM это то же, что и HKEY_LOCAL_MACHINE.
Еще раз спасибо.

22.09.2011 12:34   Виталий

сегодня случилось и у меня. Аналогично: ...(21.09.2011 12:00 Дима
сегодня требовали 200 грн. на кошелек U251837518877. Спасибо, Денису, вирус по описаному выше алгоритму действий побежден.
У меня также сначала Please select boot device. Выбрал HDD. И дельше по схеме. Разве что, HKLM это то же, что и HKEY_LOCAL_MACHINE.
Еще раз спасибо)...
У меня тоже все получилось - вирус уничтожен!
Огромное спасибо!!!

22.09.2011 14:03   Веталь

1. Вирус просит 200 грн за детское порно, появляется после загрузки винды, но до рабочего стола.
2. Загрузился с лайв-сиди, поудалял все темпы, в регедит поставил и шелл и юзеринит как надо - не помогло.
3. прогнал куре-ит, нашел два файла, один из которых троян, удалил - не помогло. больше ничего не находит.
4. В лайв-сиди есть пункт администрирование реестра: в нем шелл стоит с путем на файл (почему его дрвеб не видит, интересно?), а юзеринит нормальный. если заходить (по сути то же самое) через регедит, то шелл правильный, а юзеринит просто юзеринит:). файл на который ссылается шелл каждый раз удаляю - по барабану.
5. че дальше делать пока не знаю (пишу с работы)

22.09.2011 16:53   Денис

Веталь, администрирование реестра - это доступ к реестру винды, что на компе, его и нужно пользовать. Регедит правит реестр той недовинды, которая стартует с диска ливсиди, потому там все окей.

Вот ссылка на решение для вас:

http://www.skd.kr.ua/news/gey-porno-blokirovshchik-podmenyaet-userinit

23.09.2011 13:16   Веталь

Да, проблема было именно с заменой юзеринита, но так как до этого по совету одного человека в этих комментариях почистил систем волум информейшн, винда стала коряво работать, пришлось ее перебить.

27.09.2011 12:42   Сергей

Блин, командная строка не грузиЦо(...
как исправить?

27.09.2011 12:54   Денис

Сергей, для загрузки есть заклинание. Нужно взять в правую руку бубен и громко прочитать комментарии на этой странице.

27.09.2011 14:55   Сергей

Аха... так значитцо... бубен взял... наткнулся на Live CD... буду пробовать, спасибо:)

27.09.2011 17:00   Денис

Удачи, с бубном и ливсиди все получится!

28.09.2011 09:10   Сергей

Огромное спасибо, все получилось

28.09.2011 11:27   Сергей

Гы... Победил вроде))...
ливсиди сила, однако...
а вместо explorer.exe было cmd.exe/k start cmd.exe
Спасибо за помощь:)

29.09.2011 19:51   Денис

расцеловал бы =)))

29.09.2011 20:07   Денис

Так, тёзка, этот момент мы лучше упустим ;)

30.09.2011 11:06   Юрец

Денис- ты гений! Респект и уважуха за за файлик антигей. Очень помогло!!!

03.10.2011 12:00   Влад

Спасибо. Помогло.

05.10.2011 10:27   Мыкола

Хлопцы,дайте ссылку на вирь,хочу проверить ERD Commander в экстриме.

08.10.2011 10:53   Андрюха

Автору очень благодарен,помогло. Побольше бы таких людей :)

08.10.2011 13:29   Андрей

Автор просто молодец,огромное спасибо!Все разложил по полкам,расписано доступно и понятно,все работает... Еще раз большое спасибо!!!!!!!!!!!!!!!!!!!!!!!

09.10.2011 14:49   Olya

ОГРОМНОЕ СПАСИБО!!!

09.10.2011 21:01   jules

Огромное спасибо за помощь!!!!!не знала,что и делать,думала,конец компу!!!порнуху не качаю,ничего такого и близко,но вот тем не менее попалась:((( спасибо вам за помощь!!!хорошо,что есть такие добрые и хорошие люди,помогающие другим!!!

10.10.2011 10:39   Валерий

Тоже попался этот вирус, грузится после окна приветствия виндовс ХР. С поддержкой камандной строки в безопасном режиме загружается. В Shell был указан путь на 43.ехе. Указанный экзешник прибил. В результате комп загружается но на экране только заставка, никаких значков, кнопки пуск, трея и нижней панели нету, в Shell опять ссылка на 43.ехе. Тремя пальцами диспетчер задач запускается, через него запускается и explorer.exe Запуск из диспетчера задач userinit.exe не дает появления полноценного рабочего стола.

10.10.2011 17:26   Денис

Валерий, в шелл вместо 43 введите explorer.exe - поможет.

12.10.2011 16:45   karandos

уже второй раз такая лажа... спс автору. оч пригодился путь к ШЕЛЛ'у ..P.S. бацылу не удаляйте, а в карантин антивира. штоп сново не сапатся с этим самым файлом в будущем. ...

14.10.2011 10:54   Salmon

Работает эта фигня на популярных запросах (закачках), я например искал шрифт ТТФ для полиграфии, после нажатия - Скачать Шрифт и появилась эта беда...
Не в порно (верней не в нём одном) проблема...

14.10.2011 13:08   DoCEnT

Спасибо, буквально полчаса попался на эту шнягу коллега, Ваш способ помог вылечиться, премного благодарны автору.

14.10.2011 13:43   Алексей

Всем доброго времени суток! Ребята, не раз сталкиваюсь с таким чудовищем - разные баннеры, разные цены, но адрес проблемы один:
гружусь с LiveCD, в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run сидит ключ вида: shellexecute.exe/h — indicdll.cmd, ну и в разделе Winlogon - userinit.exe без полного пути. Я все это исправляю, чищу TEMP-ы и папки Application Data, перезагружаюсь и .... баннер опять на месте. Гружусь опять с LiveCD и в реестре опять теже ключи на месте. Раньше, за не имением времени, проблему решали переустановкой Винды, но из проф любопытства на этот раз хочу разобраться. Из предыдущих комментов понял, что проблема в MBR может быть, проверю, а может по описанным симптомам еще что-нибудь подскажете?

14.10.2011 17:21   Вадим

спасибо, комрад, пять минут и мамин ноут снова в порядке! ;)

14.10.2011 20:30   Саша

а я сделал все как написано и перезагрузил комп)а вместо робочего стола тупо чёрный екран)что делать?

15.10.2011 12:18   zindya

Сегодня стребовали 200 грн. на кошелёк за распостранение порно, но СПАСИБО, всё всё , следуя свету почистил-получилось. Но эта хня выскакивает и в всплывающем окне, при попытке закрыть окно блокирует винду. И ещё там в Tempe рядышком было ещё два файлика с тем же временем создания. На всякий случай удалил за компанию.

15.10.2011 16:44   Алексей

Решил проблему почистив Каспером HDD на другом ПК. Все равно хочу знать: каким образом после удаления всех лишних ключей из реестра, после перезагрузки эта дрянь прописывается снова? есть идеи, товарищи?

15.10.2011 23:34   Дмитрий

спасибо, все работает, была лажа с отображением рабочего стола, но прописал в шеле эксплорер.экзе и все гуд )))
...файл вредитель wpbt0.dll

16.10.2011 00:19   Евгений

спасибо огромное, все безумно понятно,помогло))

16.10.2011 02:26   Киса

Сообщения аутпоста (3 подряд) от 16.10.2011 03:15:
WPBT0.DLL
1) пыталось запустить SWHOST.EXE
2) изменить память EXPLORER.EXE
3) завершить EXPLORER.EXE
Свойства файла :\WINDOWS\Temp\WPBT0.DLL (совпадают с :\WINDOWS\Temp\2B1F.tmp)
Размер 154 КБ (158 208 байт)
Создан 16 октября 2011 г., 2:32:26
Изменен 16 октября 2011 г., 2:16:24
Открыт: 16 октября 2011 г., 2:32:26
Версия файла 0.20480.40392.2371
Описание DMniRUmsM
Авторские права zK1cB0DiWNt
Допсведения: версия прдукта, версия файла – ничего нет.
Контрольные суммы
CRC32 2CEF5D18
MD5 ACF6E9A4E7C296F34799D792E27B29BD
SHA-1 C9745B18FC791F2510DC5465FEDD8B8EAB275833
Благодаря Аутпосту не пустили в работу.
Спасибо Денису за пояснения о сути просшедшего.

16.10.2011 05:51   евгений

помогите,все прочитал,нашел командную строку но там что то не то.объясните еще раз

16.10.2011 11:36   zindya

16.10.2011 05:51 евгений

помогите,все прочитал,нашел командную строку но там что то не то.объясните еще раз.
Из Из предыдущего диалога я понял что у многих стандартная ошибка (во всяком случае так лохонулся я) - в командную строку забил "HKLM-software-Microsoft-WinNT-current version-Winlogon", соответственно получилось "что-то не то" как пишет евгений. После перечёл полезные советы ещё раз и вбил в командную строку regedit и ... всё пошло как по маслу. Уважаемые ! Во-первых читайте внимательно что написано, во-вторых советую почитать коментарии (очень много полезного) , в третьих убедитесь что прописаное касается именно ВАШЕГО родного вируса, в четвёртых ковыряя вирус не надо бояться , всё равно в случае неудачи пойдёте к специалисту, но и горячку проть тоже не надо! Всё у Вас получиться!

16.10.2011 17:06   Александра

Нет слов - выразить благодарность. Быстро, доступно, ясно. Не составило труда избавиться за 5 минут, следуя инструкциям. Дай вам Бог здоровья, за то, что помогаете в таких ситуациях!

16.10.2011 17:46   Денис

Зиндя, огромное спасибо! Мне уже немного надоело писать "читайте внимательнее" ;)

16.10.2011 18:28   Дмитрий

я всё сдeлaл но когдa вклю ночaю то нa робочeм столe ничeго нeту,дaжe пускa.и диспeчeр зaдaч нe открывaeтся.что дeлaть?зaрaнee спaсибо

16.10.2011 19:06   select

огромное спасибо всем кто помогает разобраться с этими злыми вирусами! Всем огромное человеческое спасибо. Все помогло:) мне бы перед сестрой стыдно было б. Её ноут. А я женат, могла бы черти что подумать. Еще раз огромное спасибо.

16.10.2011 20:28   Денис

Дмитрий, за рабочий стол отвечает explorer.exe - вы ведь его шеллом прописали? Без ошибок?
За диспетчер отвечает taskmgr вроде бы dll, хотя может и ехешник. Вирус его может подменять. Попробуйте его скачать и подменить ваш (из-под лив сиди)

21.10.2011 00:11   Максим

Спасибо зразу нашел и удалил етот файл все отлично работает!

21.10.2011 10:00   vktor

Дмитрий, спасибо.
а проблема как у юзера с сообщением от 11.08.2011 14:03, невозможно войти в безобасный режим, так как стрелочки вверх-вниз заблокированы :) полезу через ливсиди

21.10.2011 11:08   vktor

с ливсиди таже ситуация - стрелочки заблокированы, снимаю винт :)

21.10.2011 13:41   vktor

решено. пункт 6. http://reelab.ru/erasebanner.php

23.10.2011 16:59   Витёк

Тоже поймал! Ноут выличил (спасибо автору), а вот комп - проблема. При загрузке безопасного режима с командной строкой, требует выбрать винду (она у меня одна XP) и загружает опять с этим долбанным окном, без командной строки. ТАК ПРОСТО сама по себе командная строка не грузится. Может кто-нить чо подсказать.

28.10.2011 13:20   incognito

У меня- windows 7 Ultimate. Тоже получил такую заразу, долго не думал загрузил среду восстановления, выбрал точку и готово (правда при первом старте пришлось немного подождать). Позже нашол и удалил вирус вручную.
Может кому то поможет етот простой метод .

17.11.2011 09:42   Игорь

По поводу гей-порно...
Вчера зашел через Google на с виду безопасный сайтик gimp.nas2.net по теме создание вебсайтов. Выплыло окно с предложением установить WME9. Я "на расслабоне" нажал крестик "закрыть", и тут же пошла ошибка и блокировка Windows с предложением заплатить деньги. Также написано типа смотрел гей-порно.
Перегрузил комп, (у меня ХP), при загрузке ругнулось на файл wpbt0.dll.
Файл удалил, реестр почистил. Все работает.
Осталось заяву в ФСБ написать. В принципе, вычислить уродов элементарно.

19.11.2011 08:54   Евгеша

папа проказник :DD
спасибо ОГРОМНОЕ, все получилось!)

22.11.2011 00:13   Юля

у меня после ввода rеgеdit находит НКЕУ,помагите пожайлуста,что мне делать?
И там идут папки shеll аррlliсаtion и куча других...

24.11.2011 09:10   Оля

"HKLM-software-Microsoft-WinNT-current version-Winlogon"
Для Windows XP:
HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon. В правой части окна ищем параметр "Shell".
ЛКМ - левая кнопка мыши (автор статьи освоив язык Эллочки-людоедки почему-то решил, что остальные тоже перешли на него)

24.11.2011 11:44   Денис

Олечка-нелюдоедка, автор статьи освоил ещё и поиск по сайту, на котором есть глоссарий с разъяснениями, что такое ЛКМ и ПКМ на примере кедов.
Статья предназначена для людей, обладающих начальными знаниями в ПК, то есть хоть какими-то знаниями. Помните, в фильме "Афоня": "а если бы я у тебя там микроскопы начал крутить, что было бы? - Катастрофа."

24.11.2011 14:13   Алексей

кнопочки вверх-вниз - ТАБ жмите)))И будет Вам счастье порно-любители)))

27.11.2011 20:35   Лёша

у меня HKRY-5 в какой из них?

29.11.2011 19:57   Наталия

что делать если при нажатии F8 выбивает
SATA:3M-WDC
CDROM:4S-ASUS
USB:HUAWEL

как зайти в безопасный режим со строкой?

29.11.2011 21:52   VLAD

спасбо помогло, но фильмы не качал а читал новости и вдруг бац.
хотя представляю как народ может очкануть. благо я раньше про это слышал

30.11.2011 22:41   Владимир

прошу помочь,у меня проблема в том что у меня нет HKLM,место этих символов HKEY и shell найти нигде могу!

03.12.2011 22:51   Дмитрий

Доброго времени суток! Тот же прикол случился, но в указанном HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon ->Shell у меня нарисовано Explorer.exe и ничего другого нет, и как тут быть???

05.12.2011 13:52   Владимир

Спасибо большое. Круто. Помогло. предупрежу хозяина о вреде нелицензионного порно)))

05.12.2011 14:05   Екатерина

Пишу постскриптум, после того, как все уже закончилось:)
Как оказалось, вирус можно "подцепить" и без посещения ХХХ-сайтов. За таким себя раньше не замечала, до появления этого окошка с гей-детским-порно.
Поскольку являюсь блондинкой в компьютерных вопросах (да, все вами написанное очень похоже на французкий:), приглашала сражаться с вирусом специалиста.
Несмотря на то, что с момента старта вируса прошло БОЛЕЕ 2 СУТОК, ни один файл не пострадал. Можно спокойно просрочить "оплату" .
Сейчас за снятие блокировки нужно 250 гривен:)
Написала жалобу в ВебМаню на все три кошелька (три WMID).Кошельки гривневые, новенькие, без жалоб и претензий в арбитраже, зарегистрированы на Москву, в ФИО стоят примитивные "имена". Даже если эти WMID заблокируют, мошшеникам нечего делать - открыть еще десяток аналогичных. Кто знает, куда и как еще можно пожаловаться, чтобы хоть какую-то каку и для них, изобретательных и жадных,сделать?

08.12.2011 21:02   Валерий

помогите!
сделал все по инструкции, добрался до того самого Shell - а там... значение explorer.exe!!!
такое как и нужно!
и никакого пути к вирусняку!
притом заставка бодро висит на весь экран...
что делать?

11.12.2011 11:02   Любовь

Все сделала как вы рекомендовали.Нашлось 2 вируса,удалила их.Перезагрузила комп. В результате опять вышла все та же заставка с сообщением о блокировки Windows.Посоветуйте как быть?

11.12.2011 11:13   Денис

Любовь, сайте есть ещё 4-5 статей на тему лечения этого вируса. Просто разновидностей заразы много, метод лечения на каждую - свой.

11.12.2011 11:19   Любовь

Денис,подскажите, пожалуйста,где эти статьи прочитать?

11.12.2011 11:28   Денис

Любовь, попробуйте:

http://www.skd.kr.ua/news/kak-vibrat-lechenie-porno-virusa

http://www.skd.kr.ua/news/ocherednaya-raznovidnost-blokirovshchika-gey-porno

http://www.skd.kr.ua/news/gey-porno-blokirovshchik-podmenyaet-userinit

Ссылки некликабельны. Скопируйте и вставьте в адресную строку

11.12.2011 16:35   Василий

нашел пункт shell, но в нем не было изменений, т.е. там уже было explorer.exe. тогда что не так?

11.12.2011 16:52   Денис

Ещё раз и для всех сразу: разновидностей этого вируса несколько, я описывал лечение для всех. Ищите по сайту. В моем комментарии выше есть ссылки.

11.12.2011 16:58   Василий

дело в том, что по ссылке http://www.skd.kr.ua/news/kak-vibrat-lechenie-porno-virusa
я нашел вид этого вируса и ссылка, написанная там, привела меня именно сюда. возможно ли что сам файл explorer.exe был заменен вирусным файлом?

19.12.2011 12:27   алексеев а а

тоже попался на эту дрянь,переустановил на совершенно другую винду,но почему то компьютер стал ТЯЖЕЛЕЕ РАБОТАТЬ А ТОЧНЕЕ ПОДВИСАТЬ ХОТЯ ЖЕЛЕЗО ОТЛИЧНО ТЯНЕТ ДАЖЕ 64-битную систему ,может просто мне кажется что когда вирус такой вылез и было написано ПРИ ПЕРЕУСТАНОВКИ ОС КОМПЬЮТЕР БУДЕТ БОЛЬШЕ ЗАВИСАТЬ или вроде такого...

22.12.2011 14:22   Тоха

ОО, большое спасибо ! только вы все правильно написали. а то все оставляли что то. но это что то очень важный элемент. респект автору.

23.12.2011 21:57   Льоха

помогите F8 не фурычит так как WINDOWS грузица очень быстро даже нет заставки включается так: тока комп пикнул сразу появляется заставка биоса и "гей порно" просят 300грн что делать?

26.12.2011 14:20   Руслан

Переписать MBR или спец прогой или штатніми средствами программы установки Windows при помощи комманд fixboot, fixmbr

26.12.2011 15:58   Жора

подскажите что сделать лазил в нете появился ярлык на рабочем столе типо порно сайта хотя я там и в помине небыл, я зашел в этот ярлык и начал перезапускатся комп когда он вкл. выбили что надо оплатить в кошелёк штраф 300грн, возможно ли его разблокировать без плотежа???

26.12.2011 16:30   Денис

Жора, если бы вы были на порно-сайте, то можно было бы разблокировать, а раз нет - то боюсь, что вам придется...научиться читать.

28.12.2011 15:15   Лола

Я все сделала так как было написано но после Shell там и стоял explorer.exe что теперь делать ума не приложу

30.12.2011 22:25   Денис

Всех с наступающим Новым Годом! Поменьше вам вирусов, поменьше блокировщиков, поменьше геев, но побольше порно ;)

Лёха, Жора, Лола и другие: пожалуйста, потрудитесь почитать комментарии (хотя бы мои) к этой теме. Разновидностей винлокера - больше 5, для каждой свой метод лечения. Все темы у меня есть, просто поищите. Вдруг что - лучше пишите на почту.

06.01.2012 11:08   Pirat

Недавно вылезла такая хрень.
ТАК ВОТ: XP 3
ЗАШОЛ В БЕЗОПАСНОМ РЕЖИНЕ,
ПРИ ВХОДЕ В WINDOWS ВЫБРАЛ АДМИНИСТРАТОРА,
ЗАШОЛ В УЧЕТНЫЕ ЗАПИСИ И СОЗДАЛ НОВОГО ПОЛЬЗОВАЛЕЛЯ, А СТАРОГО УДАЛИЛ, И ПЕРЕЗАГРУЗИЛ В ОБЫЧНОМ РЕЖИМЕ.

08.01.2012 23:05   Вика

Я уже не могу!
Целый день просидела над этим,пользуясь вашими советами.
3ашла в без.режиме с ком.строкой,ввела regedit,дальше HKLM-software-microsoft-WinNT-current version-Winlogon-shell там было explorer.exe

пожалуста помогите,что дальше делать,на кошелек просят положить 300 грн.(
У меня Windows7)

10.01.2012 07:15   Влад

Вот так вот. Ну теперь я знаю что надо было делать тогда. хотя и порно то я не смотрел.

10.01.2012 20:57   серега

подскажите вот дашел до Shell делаю двойной шелчек открывается три папки на ноутбуке такие
CrawlStartPages
WindowsParentalControls
WindowsParentalControlsMigratic
И где искать путь который удолить надо?????

10.01.2012 23:30   Николай

Кстати, суммы от 150 до 200 гр.,действительно, - вчерашний день. Уже, блин, 300...

12.01.2012 11:05   Гоблин

Обратите внимание. Не всегда он пишется в ветку HKLM, буквально 5 минут назад лечил клиента с записью в HKCU.

12.01.2012 11:27   Денис

Гоблин, (Пучков? Настоящий?) комментарии все равно никто не читает. Вот я например несколько раз писал о том, что данного вируса есть несколько разновидностей, но нет, все ищут решения всех проблем только на этой странице.
Однако, таки да, есть одна из разновидностей, в которой бацилл злобно пишется в автозагрузку, тоесть run, коих есть два: ХКЛМ и ХКЦУ.

12.01.2012 15:42   Александр

Денис доброго времени суток. Проблема такая.. В шеле пусто експлорер... через командную строку зашел в експлорер.. проверил на вирусы.. дрвебом..0... потом земенил userinit.exe и taskmgr.exe... через мсконфиг отключил все что токо казалось подозрительным.. результат: дальше окно с локером.. хелп ))

12.01.2012 16:34   Денис

Александр, более, чем легко ) Я уже писал про диск "антивинлокер", воспользуйтесь поиском по сайту, статья есть.
На офиц. сайте качните архив исо, запишите диск, загрузитесь с него и проведите автопроверку. Все :)

Мне попалась эта разновидность(как у вас), долго я отлавливал, откуда он себя копирует. С диском - быстрее.

13.01.2012 08:06   мимопроходил

сижу в винде ХР под учеткой гостя- искренне не понимаю, где люди умудряются нахватать винлокеров. Алсо, вы так говорите "детское порно", как будто это что-то плохое

13.01.2012 09:19   Светлана

Вчера муж "поймал" вирус при поиске музыки. Просят уже 620 гривен. положить в банкомате на QIWI на №380682699276 У меня Windows7, грузится очень быстро. Клавиша F8 срабатівает только. если нажать до загрузки. Появляется синее окно на английском, я только понимаю, чтона до стрелочками выбрать какую-то строку и нажать Esc. Когда я так делаю, снова появляется сообщение об уплате. Я перечитала все комментарии, может этр другой вирус. ноя действительно "блондинка" в кмпьютерах, а муж еще блондинистее. я понимаю, что нужно обратится к специалисту. Только где найти? Сегодня попробую на своей работе спросить у сисадминистратора. Я не знаю,разбирается ли он в этом. Попрошу прочесть комментарии. Денис, может Вы уже с этим сталкивались. Или подскажите, где искать.

13.01.2012 16:38   Денис

Мимопроходил, детское порно - это не просто что-то плохое, а что-то уголовно наказуемое.

Светлана, к сожалению данных маловато, чтобы помочь. На сайте есть несколько решений, читайте.

13.01.2012 18:16   Светлана

Денис,спасибо, что откликнулись.Сисадминистратор полечил комп, но сказал, что для него это что-то новое, не думал даже что получится. Лечил с помощью системы Касперского . Я в этом ничего не понимаю. С мужем соответствующая беседа проведена. Хотя из всех комментариев, я поняла, что этот вирус ловят не только те, кто смотрит порно.

13.01.2012 18:26   Денис

Светлана, вы абсолютно правы, сия зараза цепляется разными путями. Хорошо, что все хорошо закончилось. Кстати, ваш предыдущий комментарий - №1000 на сайте www.skd.kr.ua ))

14.01.2012 22:28   Petya

Microsoft security обнаружил нарушения использования сети интернет.Причина: просмотр и расспространение ДЕТСКОГО-ГЕЙ порно предлагает на номер +79299442318 кинуть 400р и банер уберется.что делать? через winlogon -shell пробовал много раз не помогает( есть еще варианты или нюансы которые я мог пропустить?

17.01.2012 20:39   бодя

куда заходить и что делать????

20.01.2012 04:41   Постос

Вылечил вирь " Министерства обороны" с просьбой на веб-кошелек закинуть 1 тысячу гривень)))) Спасибо огромное. Всё четко, ясно и доступно. Только свежий Кюреит скачать не получилось. с айт др.веб лежит напрочь.

20.01.2012 23:25   Эля

Денис - гомофоб, убей себя

21.01.2012 07:30   Денис

Эля, тебе годков так 14-16, да? Это пройдет, не переживай. Теперь понятно, по какому поисковому запросу ты зашла на сайт. Разочаровалась видать, увидела не то, что хотела ;)

21.01.2012 07:31   Денис

Эля, а какое твое настоящее имя, кстати? Эдуард?

22.01.2012 09:28   Максим

Спасибо, пітались сбить штуку. Ещё раз СПАСИБО.

22.01.2012 10:06   Богдана

Даже ничего не скачивала, зайшла на сайт "вонлайне", меня попутно выкинуло на инет-магазин каких-то стрелялок, я закрыла и появилась эта фигня - 2000 грн, 12 часов.
Безопасный режим не грузится, викидывает снова на выбор режима.
Родители скоро убьют (за комп, а не за "порно"), они не верят, что с помощью этого сайта можно что-то излечить. Помогите, пожалуйста!

22.01.2012 10:33   Денис

Богдана, для вас персонально пишу: данного вируса есть несколько разновидностей, ЭТА статья - только от ОДНОЙ из них. Как показала практика, у вас - другая. Читайте другие статьи на этом сайте, он поможет. Кстати, иногда бывает нелишним читать комментарии.

22.01.2012 12:58   Иван

Огромное спасибо автору, реально искал видео доктора комаровского для жены))))))))))))))) и тут такая фигня

26.01.2012 01:10   Сергей

Здравствуйте, Денис. Пару дней назад поймал подобный вирус, воспользовался Вашей инструкцией, все вылечилось, спасибо. Но через пару дней появился точно такого же плана, но немного другой баннер с похожим текстом. На тот раз, после перезагрузки спокойно грузился рабочий стол и я спокойно запускал Dr.Web CureIt, чтоб найти заразу, но утилита показывала что компьютер чист. Только что опять вылез тот-же баннер, пришлось лечить снова через командную строку. Адресс заразы постоянно С:/Docume~1/Admin/Locals~1/Temp/какой-то_файл.tmp. В чем может быть проблема, компьютер не до конца вылечен или ещё что-то? Как правильно удалить вирус полностью? Заранее спасибо.

27.01.2012 16:53   Александр

Сегодня столкнулся с подобной проблемой.Так вот-теперь подлецы как-то зашли ещё дальше.Комп НЕ РЕАГИРУЕТ на клавишу F8...Какие будут варианты?

27.01.2012 20:59   Deltik

а если даже Ф8 не работает?

27.01.2012 23:48   Денис Deather

Спасибо, Денис. Все заработало. А то уже думал систему переустанавливать... Теперь буду знать, что делать, когда ко мне знакомые обратятся с такой проблемой (до этого решал этот вопрос переустановкой, пока это не коснулось моего аппарата). Также спасибо комментирующим за полезные советы. В будущем могут пригодиться, хотя, лучше бы не ловить такие приколы.

29.01.2012 10:26   Линуксоид

Читал этот тред улыбаясь.

29.01.2012 11:05   Денис

Линуксоид, интересно, а что ты искал в Сети, если попал на этот тред? ;)

29.01.2012 23:27   Вероника

Денис,спасибо Вам ОГРОМНОЕ!!!!Я Вас обожаю за прекрасные советы!!!))

01.02.2012 18:05   Татьяна

Огромное спасибо за помощь.

01.02.2012 23:34   Romeo

Спасибо ДРУГ!! Всё получилось!!

02.02.2012 12:40   Андрей

Спасибо тебе большое!!!)))

02.02.2012 18:49   Серега

Спасибо большое за вашу помощь.Очень хорошо и доступно объясняете...
Все сделал как написано работает безупречно,только с меня просили уже 990грн. зажрались гады...хакеры
За чувство юмора отдельный респект!!!

02.02.2012 20:24   Димон

Большое спосибо автору. Все получилось.

04.02.2012 01:44   Оксана

Потрясное остроумие, безупречная грамматика, отличная речь, да еще и советы помогли. Премного благодарна! Только качала я не порно, а невинную книгу Петровского "Введение в психологию"...) И бацилла называлась 0.куча цифр.exe Еще раз спасибо умному человеку!

04.02.2012 01:50   Оксана

Да, и вдогонку. Вымогатели представлялись Службой БезопасТности Украины. Ну, остальной текст столь же чудесен. Малолетки веселятся?

05.02.2012 17:16   санек

СпАсИбО,БоЛьШоЕЕЕЕЕ!!!!

05.02.2012 22:57   Сергей

Спасибо огромное!!!!!!

09.02.2012 00:28   karblek

Разобрался. Помогло. Очень благодарен!!!! Спасибо за грамотный совет!!! Видно, что "фахівець".

10.02.2012 21:27   Катерина

спасибо, благодетель))))
благодаря Вам, спасли кучу важных документов))

18.02.2012 18:45   Слава

СПАСИБО!!! путь к файлу был в hkcu...shell: c:\documen..\admin...\locals..\temp\dhdaehe. DrWeb этот файл как зараженный не определяет!!! Поэтому вместо помещения в карантин пришлось его тупо удалить

20.02.2012 13:54   Диана

ребята помогите мне разблокировать ноут

21.02.2012 18:44   bibii

Автор, респект!

22.02.2012 13:32   Валера с вирусом на компе:'(

люди помогите мне! у меня не на рабочем столе а вместо окна ввода паролья для входа в систему. хакер на киви кошельке требует 650грн пожалуйста помогите (мой логин скайп st1x_x)

23.02.2012 19:30   вано

Я стал жертвой этого вируса но так ак я не програмист и даже английского не знаю(даже букв) зделал так- зажал альт контрл делит, меню задач начало мигать но название запушеной програмы прочитать можно. перезагрузил нажал Ф8 вошол в безопасный режим в поиске ввёл имя вируса удалил найденные файлы(их было два) очистил корзину перезагрузил комп Вуаля всё как и небыло вируса.

24.02.2012 08:44   Валера с вирусом на компе:'(

тут проблема в том что я в систему не могу зайти, контрл+алт+делл не открывает диспетчер задач а просто перезагружает комп до момента где вот эта зараза просит у меня деньги:(

28.02.2012 12:30   Мария

Спасибо вам огромное за вашу помощь все сделала все получилось, но немогу найти путь вируса. Помогите пожалуйста просто крик души. Конечно просто было бы вызвать спеца или переустановить винду, но так хочется сделать или хотя бы попробовать сделать самой. Помогите

28.02.2012 12:49   Валера без вируса на компе:)

все знакомый хакер помог и убрал эту заразу. жаль этот сайт мне ни капельки не помог

28.02.2012 13:12   Денис

Валера, жаль, что этот пользователь отказывается читать как комментарии, так и иные статьи, которых, к слову, ещё целых 5.

29.02.2012 18:33   Артем

вот я нажак 3 клав. оно начало перезагружатся и я нажак ф8 выбило синий екран...что делать?

29.02.2012 20:13   antihaker-xzatom

Благодарю!!!Раньше с етими вирями мне помагал юзби гвард секюрити, но в етот раз он меня подвёл.

29.02.2012 20:22   antihaker-xzatom

У кого не работает ф8 попробуйте ф6 или ф5

29.02.2012 23:29   игорь

спосибо большое у меня получилось

02.03.2012 16:03   Lfybk

Дякую)

05.03.2012 09:16   Влера без вируса на компе:)

Денис, прочитал все статьи и почти все коменты он нигде не нашел ответ на свой вопрос.

05.03.2012 11:21   Денис

Валера,

http://www.skd.kr.ua/news/gey-porno-blokirovshchik-podmenyaet-userinit

08.03.2012 23:16   Вольдэмар

Ну есть же добрые люди на свете!Спасибо!!! Кстати, какая же сука это придумала,моя подруга всего лишь зашла на ex.ua в раздел эротики и видно шото не то клацнула?

09.03.2012 15:38   iKot

спасибо Автору! родители где-то подцепили, бездумно нажимая на баннеры.. сейчас напишу коммент и полезу на сайт вебмани с просьбой заблокировать этой суке кошелек! Еще раз огромное спасибо!!

11.03.2012 07:33   Helen

Спасибо большое=))*

13.03.2012 13:14   Ольга

У меня такая же история, как у Катерины. И мне стыдно обращаться к своему мастеру. Решила деньги не платить злодеям, а разобраться самост., даже если убью свой комп окончательно. Сделала, как Вы описали выше, но regedit мне выдал:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MASHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
И почти в каждом (кроме 4-ой строки)есть software-Microsoft-WinNT-current version-Winlogon только пункт«Shell» в другом месте, и при двойном нажатии ЛКМ ничего не происходит. Помогите пожалуйста.

16.03.2012 18:46   Ольга

Если на мой вопрос не отвечают, отвечу сама: HKLM-это HKEY_LOCAL_MASHINE. Но при всем уважении к автору, его советы мне не помогли. Однако не нужно отчаиваться тем, у кого схожая ситуация! Просто зайдите по этой ссылке http://support.drweb.com/show_faq?qid=46452743&lng;=ru, там все описано.Мне помогло, УДАЧИ.И не поддавайтесь злодеям, они и сами в какой-то степени распространитили ПОРНО!

16.03.2012 20:12   Денис

Ольга, как жаль, что читать комментарии нынче не в моде. Рад, что хоть какой-то сайт вам помог!

26.03.2012 15:20   Макс

ПОМОГЛО УРА!Ребята огромное спасибо. Дай бог вам здоровья.

27.03.2012 22:40   Артем

а с помошью аваст 7 интернет секюрити м ожно тайти этот вирус и удалить?

27.03.2012 22:41   артем

я имею в виду:он его найдет?

28.03.2012 16:36   санёк

требуют 300 гривень.диска у меня нет .в безопасном режиме захожу бес проблем/explorer.exe/ А што делать дальше .напишите ПОЖАЛУЙСТО.

28.03.2012 21:31   Сергей

Эту хрень сегодня модифицировали так,что невозможно загрузиться в безопасном режиме. Только c CD диска получилось fixmbr и fixboot

29.03.2012 18:04   наталья

загрузится в безопасном режиме не получается.в нормальном режиме всё работает,прогнала на вирусы,все что были удалила.....а windows всё равно блокируется,но только после соединения с инетом,
Что ДеЛаТь???

31.03.2012 23:32   serg78

Добрый день! Вопрос такой - при загрузке сразу появляется окно с требованием оплаты через кошелек - ф8 не работает! Что делать подскажите?

01.04.2012 22:45   Артем

нажимай ф8 не когда появляеться окно,а когда комп включаеться зажми и держи.можешь услышать трещание,не пугайся это нормально=)

08.04.2012 09:32   ПАВЕЛ

У МЕНЯ ПРИ F8 ПОЕВЛЯЕТСЯ ТАБЛИЧКА PLEASE SELECT BOOT DEVICE

08.04.2012 18:11   Никита

объясните что делать я нуб в этом деле

10.04.2012 04:54   Володя

Я негоден найти цей вырус адрес мены до нього не вибиваэ, при звичайный загрузцы я обходю його диспетчиром задач, виполнить: d/windows/explorer.exe ы в мене появляэться робочий стыл, все просто, а вырус знайти я невзмозы!!!!!!!!

11.04.2012 12:06   дядя

заблюкирован WinXP за поиск и просмотр

15.04.2012 00:33   Анатолий

Сегодня попала зараза и комне в комп . Денег не просит , требует код , клавиатура при этом не работает.
Перечитал все сообщения .
На кнопку F8 не реагирует .
Можно попасть только в биос , в биосе переключение на сидук происходит но загрузка с сидюка не получаетца т.к. снова не хочет работать клавиатура и не выбираетца нужный вариант старта компа .
Какие есть варианты борьбы ?
Спасибо .

15.04.2012 07:46   Денис

Анатолий, в биосе есть ещё такая штука, как подключение USB-клавиатуры. USB keyboard должно стоять enabled.
Если дело не в этом, то это может быть самая суровая разновидность блокера, о которой мне рассказывал один сисадмин. В этом случае разблокировка возможна лишь в сервисном центре.

17.04.2012 23:00   Raynor

возникло подобное... написало - "...за просмотр НЕЛИЦЕНЗИОННОГО ДЕТСКОГО ПОРНО..."
отныне буду смотреть ИСКЛЮЧИТЕЛЬНО ЛИЦЕНЗИОННОЕ :-))))))

06.05.2012 19:49   леха

нашел shell изменил на ех.., но нет адреса зарази што делать

09.05.2012 21:01   DEH

Ребята у меня гость и админ захожу в админ и опят эту фигню выдает (

11.05.2012 17:17   Илья

Что делать если я удалил файл shell а в ньом был explorer.exe и я не успел изменить и запомнить где зараза!помогите пожалуста

16.05.2012 13:19   Богдан

Я прописал регид аткрился риестер куда писать дальше

18.05.2012 09:35   Игорь

Спасибо. Все замечательно. Вся беда в том, что на ноуте войти в безопасный режим, как бы ПРОБЛЕМАТИЧНО. F8 не реагирует. Из всех F действуют только F2 - вход в setup и F12 - выбор места запуска. Объясните мне, как решить эту проблему?

22.05.2012 14:38   Will

Ща появляется всё больше вирусов, которые себя записывают в MBR HDD.

24.05.2012 04:46   Никита

Большое спасибо автору , я например зашел на сайт онлайн фильмов сериалов , а та реклама я место нужного крестика нажал левый попал на порно сайт вот начало автоматическое скачивание я а по дурости нажал запустить даже можно сказать случайно через 5 мин был в шоке.
Вот еще раз спасибо много пробавал способов но помог именно ваш !

30.06.2012 02:36   Игорь

Спасибо!!!

05.07.2012 14:58   Виктория

помогите пожалуйста, я не нахожу в БЕЗОПАСНОМ РЕЖИМЕ С КОМАНДНОЙ СТРОКОЙ саму командную строку,!!! мне просто некуда вводить то что указали выше!! что мне делать? может я просто что-то не то нажимаю?

12.07.2012 16:35   LPH

Ох и спасибо, дружище! Ничего не могу поделать - люблю я свеженькие гладенькие киски едва осовершеннолетившихся юных особ, а меня сия злая программулина уже в педобиры записывает.

12.07.2012 21:57   Денис

LPH, что бы ни значила сия деанонимизирующая(на первый взгляд) аббревиатура, я благодарен тебе за стилистику и грамматику, коих так не хватает в комментариях среднестатистического анонимуса.

19.07.2012 08:00   DemoN

Верный способ вылечить недуг, без дисков, без Flash, без ковыряний в реестре - это просто встроенное в Windows система восстановления Rstrui
1. F8 при загрузке Операционной систмы
2. выбор пункта безопасный режим с поддержкой командной строки
3. вводим команду rstrui
Подробная инструкция https://sites.google.com/site/fixtoolz/instrukcii-po-kategorii/windows-xp-vista-7-server/vas-komputer-zablokirovan-za-prosmotr-kopirovanie-i-tirazirovanie-videomaterialov

25.07.2012 00:46   Денис

Спасибо большое автору! Помогло!

27.07.2012 10:28   Я не виновен!

Помогите мне просит пополнить 15000 тысяч тенге за просмотр детского гей порно. На кошелек киви на номер 380631819827 если не поняли это возможно самый новый вирус играл как всегда гарену варик свернул и вышло юта дрянь я был в шоке.! Омг(.

29.07.2012 15:16   Виктор

Microsoft Security обнаружил нарушение использования сети интернет.Причина:Просмотр ДЕТСКОГО И ГЕЙ порно,посещение порно-сайтов.Для разблокировки Виндовс необходимо:Пополнить кошелек Вебманей номер U380679066088 на сумму 840 грн.Оплатить можно чепез терминал оплаты сотовой связи бла бла бла бла.В случае отказа от оплаты данные вашего пк и гео локации будут переданы в интерпол(все написано красным по черному!)
Что делать(пишу с ноутбука)

31.07.2012 14:48   Руслан

Виктор, грузись в установочного винды, лезь в консоль восстановления и там пиши fixmbr (для WinXp). Для WinSeven с диска запусти установку, потом воостановление, там выбери коммандную строку и напиши в ней bootrec.exe /fixmbr и будет тебе счастье.

12.08.2012 18:42   Альберт

Самый лучший способ решения проблемы. Я свой windows 7 разблокировал быстро. Не тратьте время на поиски кодов. Вот ссылка http://virus-free.ru/windows-zablokirovan-microsoft-security-essentials/

05.10.2012 22:05   Сергей

ув автор если я нажимаю f8 но у меня не
роботает ! подскажите пожалуйста что можно ещё сделоть ? зарание спасибо

05.10.2012 22:20   Денис

Сергей, почитайте комментарии и другие статьи на эту тему. Я уже неоднократно описывал. Ключевое слово: антивинлокер.

14.10.2012 22:27   Вова

Сегодня поймал, эту заразу на ex.ua, просили 300 на WebMoney помогла сама статья, наверно был не мутированый вирусняк, автору БОЛЬШОЕ СПАСИБО!!!!

15.10.2012 19:59   Марина

Здравствуйте, помогите, пожалуйста. Что делать, если не работает командная строка? Тойсть она включается, но ничего там напечатать не могу, а через время сам по себе включается Безопасный режим и пишет что-то типа: C/Documents and setting/Admin/....

09.11.2012 21:58   Vic

самый простой способ я так понял. Ето когда запушеный камп в нормальном режыме при включеном уведомлении о блокеровке зажымаете ctrl alt delete и удержываете на екране начнет пробиватьса диспечер задач, и там можна будет увидеть название етой програмы которая типа блокирует комп. У себя в диспечере я увидел запущеную прогу "svchosts". Зашел через безопасный режым и через обычны поиск файлов на компе нашел на диске C/windows/temp и удалил, перезагрузил комп и все заработало. И ненадо ничево переименовывать.

31.01.2013 13:10   Алена

Вообще читала новости, перешла на ссылку начало что-то грузится и БАЦ...Ничего качать не ставила
Выключила комп, включила зажала ф8, зашла в безопасный режим с командной строкой, ввела rstrui
Зашла в окно
Нашла файл shell, userunit
HKEY-software-Microsoft-WinNT-current version-Winlogon, переименовала (shell-explorer.exe, userunit - C:\WINDOWS\system32\userinit.exe,)
Еще есть с адресом вируса такой файл UIhost
никто не знает во что его необходимо переименовать?????

13.03.2013 11:51   Назар

Спасибо вам большое, ато било зашол один раз а тут на тебе!!! Ето кошмар

31.03.2013 14:23   андрей

а можно удалить вирус переустановив виндовс?

31.03.2013 15:25   Денис

Андрей, если это не MBR.lock - можно. Если таки да МБР - вы, скорее всего, не сможете переустановить виндоус. Кроме того, переброс ОС ради удаления этого вируса - это вроде как покупка новой квартиры из-за того, что в старой дует из окна. Проще сменить окно ;)

01.04.2013 16:42   андрей

но я делаю как вы говорите ыберите «безопасный режим с поддержкой командной строки» — вместо оболочки грузится командная строка но у меня пишыт майкрософт я нажымаю ок и там где писать регедит я не могу нажымаю на клавиши ничево не пишыт что делать?

01.04.2013 20:08   Денис

Андрей, что такое "но у меня пишыт майкрософт я нажымаю ок" - можно дословно? что именно пишет, на каком фоне?

02.04.2013 18:44   андрей

какда грузится комп я нажымаю F8 и там выбираю на черном фоне: безопасный режим с поддержкой командной строки дали пишыт на панели выбора : Microsoft Windows XP Professional RU(как есто единый пунк я нажымаю ентер) и там чете грузится оч быстро и выбивает черны фон а на клаву нажымаю и ничево не пишыт чо делать?(как мне удалить вирус а то через пользователя сидеть надоело?)

02.04.2013 20:49   Денис

Андрей, на моменте "как есто единый пунк я нажымаю ентер" - нужно подождать загрузки окошечка с черным фоном и приглашением в виде: C:\WINDOWS\что-то там. Вот там нужно написать regedit

03.04.2013 13:08   андрей

так какда я нажму ф8 и выберу безопасный режим с поддержкой командной строки нужно просто подождать?

03.04.2013 13:24   Денис

Да, нужно подождать загрузки окошечка с черным фоном и приглашением в виде: C:\WINDOWS\что-то там. Вот там нужно написать regedit

03.04.2013 14:51   андрей

а можыш кинуть видео как ето сделать или картинку?

03.04.2013 17:16   андрей

чето не идет((( а можно я вам видео брошу как все было . ато радители ругают я просто лиш фильм думал што скачал. скажыте ваш емеил плиз я отправлю туда видео

03.04.2013 19:12   Денис

Андрей, фото выложил.

04.04.2013 15:40   андрей

у меня совсем по другому

04.04.2013 15:44   Денис

Андрей, а на сайте есть еще 3-4 статьи с "совсем по-другому". Я встречал около десяти разновидностей данного троянца.

12.04.2013 12:58   Паша Ф.

Цепанул сегодня эту заразу...(перейшол по ссылке, ничего не качал.) Все водил как надо после "regedit" появляется 4 файла HKEY, а дальше я немогу найти файл что нужно изменить.

13.04.2013 11:59   андрей

ничево не действует все перепробовалф(
што делать подскажы денис позязя

13.04.2013 12:18   Денис

Андрей, все просто: нужно обратиться в ближайший компьютерный магазин, придет специалист и сделает за 5 минут и 25-50 гривен, как договоритесь.

15.04.2013 17:27   андрей

я боюсь подумают ищо што я нетой ориентацыи помогите вы мне киньте сылку на (есть еще 3-4 статьи ) плизз

16.04.2013 20:26   андрей

ау почему вы молчите:

16.04.2013 20:58   Денис

Андрей, все просто: нужно обратиться в ближайший компьютерный магазин, придет специалист и сделает за 5 минут и 25-50 гривен, как договоритесь.

На сайте работает поиск. Слева вверху, под доктором.

18.07.2013 22:26   джан

автор ты крут!спасибо от души!помогло!!!)))

04.08.2013 22:10   Марина

Спасибо огромное, у меня с трудом но все получилось, благодарю Вас

12.08.2013 15:50   Такое дело...

Вот словил вирус, что якобы я распространитель детского порно и тд... Это СБУ и Оплатите штраф 800грн, если не оплатите то вас найдут и т д в общем , ребята помогите , я читал комментарии но дело в том когда пере загружаю комп то F8 не работает и не могу зайти в диспечер задач, что делать?

24.11.2013 16:19   Александр

Не могу найти путь к заразе, там (в заразе) будет что либо указывающее на порно????

24.11.2013 17:06   Александр

Денис, я нашел винлогон, как сказано в коменте от 28,07,11 и встав на него обнаружил в правой части экрана много всякой хрени и shell. Напротив shell в колонке ЗНАЧЕНИЕ написано explorer.exe, нажимая на него ЛКМ выскакивает табличка: изменение строкового параметра и никакго пути к заразе нет. мне нужно удалить explorer.exe и заново написать?????? Может я что-то не то делаю????

24.11.2013 19:18   Денис

Александр, разновидностей винлокера - около десятка. Эта статья рассказывает только об одной из них.

24.11.2013 22:30   Игорь

Если я поймал этот вирус то до прихода специалиста ничего с компом неслучится?

25.11.2013 07:39   Денис

Игорь, ничего не случится, все будет в порядке.

06.12.2013 10:29   Валик

Чет у меня ничего не получается. На кампе его найти не могу

03.03.2014 12:41   юля

Спасибо помогло!!!!!!!хоть с компом я не особо дружу

04.03.2014 21:05   Артем

Это все конечно забавно, но люди на такое попадаются далеко не из за порно

20.05.2014 12:32   Настенька

От мвд пришло письмо на iPad!!! Написано все тоже самое что и у других!!! Что делать?!?

24.07.2014 17:20   ваня

підскажіть шо робити . заблокували телефон за просмотр порно .сказали шоб заплатити 260 гривень і подробна інструкція...що робити.... дякую

06.12.2014 12:11   Наташа

в мене заблокували телефон що робити підскажіть будь-ласка


Форма добавления комментария

Ваше имя:
Текст комментария:
 

Полезно


Популярно

Информация


Софт

Комплектующие