Новый баннер, блокировщик Windows.

[ДДТ]

Старый знакомый клиент подхватил новый баннер. При чем не первый раз он их хватает, говорил я ему чтобы меньше лазил по сомнительным сайтам, но видно человек любит иногда посмотреть что-нибудь "по-горячее".

Ну думаю, несколько минут делов и можно деньжат подзаработать на мороженое детям, но я не знал какой меня ждал жестокий облом.

Баннер с виду обычный, черный фон, на котором текст со стандартным содержанием " бла-бла-бла, вы просмотрели и скачали видео с детской порнографией, порновидео с геями и зоофилией... бла-бла-бла, ваш компьютер заблокирован для предотвращения распространения данного материала в сеть Интернет ..."

Ну и стандартные телефоны для Мегафона, Билайна и МТС.

 

Фон закрывает всю область экрана, внизу поле для кода и кнопка "войти в систему", курсор мыши бегает в пределах невидимого квадрата очерчивающего текст, на горячие клавиши не отвечает, Диспетчер задач не запускается, в безопасном режиме тоже самое. Теперь самое интересное, компьютер не грузится с Виндовых лайв-СД, загрузился с Линуксового, подозрительных файлов или папок (которые обычно появляются на рабочем столе или в документах юзера) не обнаружил, в файле hosts все нормально, в реестре с winlogon и userinit тоже все в порядке.

 

Последняя надежда была на свежие KRD 10 и Dr.Web LiveCD. Полное сканирование. Оба ничего не находят!

 

Есть ещё предположения как побороть эту гадость?

ОС: Vista Home Premium 32 bit

 

Пользовался онлайн-разблокираторами Касперского и Др. Веба. Точно такого же баннера там нет, но есть похожий. Коды не подходят.

Почти такой как на картинке, только без слов Внимание! текст и номера телефонов другие.

[neuro77]

иной раз копаться в реестре и выискивать пути настолько гемморно, что легче винду переустановить

[ДДТ]

Баннер новый, поэтому создал новую тему, если модеры решат прикрепить эту тему к основной теме про баннеры, то я не против.

[S10]

KRD 10 и Dr.Web LiveCD. Полное сканирование. Оба ничего не находят!

Ничего удивительного: гадость эта ваша заливная рыба херня эта ваша эвристика, они только по сигнатурным базам ищут.

Нет записи в базе — нет результата.

 

Я уже описывал, как с помощью убунчи лечил убивал свежего(на 13 янв) зловреда. Не сумеешь сам — придется делиться мороженым.

[Vaquero]

ДДТ скока заплатили?

[ДДТ]

S10

Шаман, ты наверно плохо читал мой 1-й пост Я добрался до реестра и обнаружил что

в реестре с winlogon и userinit тоже все в порядке. blink.gif

С убунтой тоже дружу.

[kas]

в реестре с winlogon и userinit тоже все в порядке.

Не верю

Подключи жесткий к своему компу, подрубись к реестру на нем, экспортни ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и скинь сюда

[S10]

Winlogon — это раздел. А Userinit — один ключ из всей ветки(лежащий под Winlogon как раз ). Получается, в реестре проверено только одно место автозапуска, на деле же тысячи их как минимум 10.

 

Вообще говоря, хорошо бы выловить сам зловред, чтоб посмотреть, куда он пишется, на специализированных сервисах онлайн-проверок. Но это ж порочный круг.

[Ast78512]

...в безопасном режиме тоже самое. Теперь самое интересное, компьютер не грузится с Виндовых лайв-СД, загрузился с Линуксового...

А как выглядит невозможность загрузиться именно с виндового Live-CD, ведь при загрузке HDD не участвует?

Безопасный режим с командной строкой тоже не грузится?

[S10]

Безопасный режим с командной строкой тоже не грузится?

Та блочат его уже успешно, я именно с этим и столкнулся. Тоже пробовал.

 

А с winPE не грузится потому, что системник свободного софта просит, варез ему надоел.

[ДДТ]

Ast78512

2 виндовых Live-CD уходят в ребут, раньше такого не было. Линуксовые грузятся. Безопасный режим с командной строкой закрыт баннером во весь экран. Все появляющиеся окна винды благополучно закрываются черным фоном баннера.

ДДТ скока заплатили?

Все согласно договора. Оплата в конце месяца. Также открыт и для разовых работ. Реклама

kas

Подключи жесткий к своему компу, подрубись к реестру на нем, экспортни ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и скинь сюда

Я этот путь знаю наизусть как бы не 1 десяток баннеров на моем счету, при чем каждый раз новых. Говорю же, что там все чисто. Сам в шоке.

S10

Winlogon — это раздел. А Userinit — один ключ из всей ветки(лежащий под Winlogon как раз smile.gif ). Получается, в реестре проверено только одно место автозапуска, на деле же тысячи их как минимум 10.

Фигню пишешь. Если сидишь сейчас под виндой, то запусти любой редактор реестра и посчитай сколько ты найдешь в реестре ключей Userinit. Даю подсказку -

он всего один! на весь реестр !

 

[S10]

Фигню пишешь. Если сидишь сейчас под виндой, то запусти любой редактор реестра и посчитай сколько ты найдешь в реестре ключей Userinit. Даю подсказку - [sp] он всего один! на весь реестр ![/sp]

Вышло недоразумение, видимо, с твоей стороны. Даю полный путь:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Говорю ж, лечил ужо.

 

Я про 10 путей автозапуска, а не про 10 ключей Userinit. На вскидку помню только популярный некогда раздел

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[Vaquero]

ДДТ

Странно, почему лайв сд не грузится...Должен)))

А если поиск по дате сделать?Вообще файлы такого рода либо в документах либо во временных папках))

Поищи в тырнэте лайв сд нод32))на нём будет ехрlorer , с помощью которого можно спокойно прошарить жоский)

Именно это мне помогло, когда я отчаялся его найти антивирями...

[Slifi]

DDT там компьютер или ноутбук?

[S10]

А если поиск по дате сделать?

Дату создания тоже успешно меняют, тоже давненько научились.

[S10]

Поищи в тырнэте лайв сд нод32))

Официальный бесплатный или любительское варезное поделие?

[kas]

Фигню пишешь. Если сидишь сейчас под виндой, то запусти любой редактор реестра и посчитай сколько ты найдешь в реестре ключей Userinit. Даю подсказку -

он всего один! на весь реестр !

В том же разделе винлогона можно загрузиться подменив ключи эксплорера или же добавив ключ в notify.

Но ладно, если там все верно, то может быть неверны сами файлы юзеринита или эксплорера. Сверяй с валидными.

[Ast78512]

Ast78512

2 виндовых Live-CD уходят в ребут, раньше такого не было. Линуксовые грузятся. Безопасный режим с командной строкой закрыт баннером во весь экран. Все появляющиеся окна винды благополучно закрываются черным фоном баннера.

Это что получается, даже вместо командной строки баннер появляется?

[zexus]

Старый знакомый клиент подхватил новый баннер. При чем не первый раз он их хватает, говорил я ему чтобы меньше лазил по сомнительным сайтам, но видно человек любит иногда посмотреть что-нибудь "по-горячее".

Ну думаю, несколько минут делов и можно деньжат подзаработать на мороженое детям, но я не знал какой меня ждал жестокий облом.

Баннер с виду обычный, черный фон, на котором текст со стандартным содержанием " бла-бла-бла, вы просмотрели и скачали видео с детской порнографией, порновидео с геями и зоофилией... бла-бла-бла, ваш компьютер заблокирован для предотвращения распространения данного материала в сеть Интернет ..."

Ну и стандартные телефоны для Мегафона, Билайна и МТС.

 

Фон закрывает всю область экрана, внизу поле для кода и кнопка "войти в систему", курсор мыши бегает в пределах невидимого квадрата очерчивающего текст, на горячие клавиши не отвечает, Диспетчер задач не запускается, в безопасном режиме тоже самое. Теперь самое интересное, компьютер не грузится с Виндовых лайв-СД, загрузился с Линуксового, подозрительных файлов или папок (которые обычно появляются на рабочем столе или в документах юзера) не обнаружил, в файле hosts все нормально, в реестре с winlogon и userinit тоже все в порядке.

 

Как так? Ниразу не видел... длительное зажатие Ctrl+Shift+Esc с последующей остановкой задачи не помогает? Или просто курсор не может туда выйти из квадрата? Userinit в порядке, а Shell?

Virus Removal Tool 2010 пробовал свежий, бесплатный с сайта Касперского?

[Vaquero]

S10

поделка разумеется) я юзал 1,5 годовалую сборку)))

zexus

В козявках такого рода идёт проверка на диспетчер задач) т.е. он открывается и благополучно закрывается ) Всё зависит от производительности компа - тормозной -юзер увидит его на пару секунд и он закроется, мощный - может вообще не увидеть)))

И ни касперский, ни нод32, ни чтото ещё либо его в упор невидят!!!! Проверено на личном компе(((

Либо запускаем антималварь и прогоняем им жоский...

[zexus]

S10

поделка разумеется) я юзал 1,5 годовалую сборку)))

zexus

В козявках такого рода идёт проверка на диспетчер задач) т.е. он открывается и благополучно закрывается ) Всё зависит от производительности компа - тормозной -юзер увидит его на пару секунд и он закроется, мощный - может вообще не увидеть)))

Так зажми и не отпускай - помогает, моргает, конечно, диспетчер, но задача обычно там всего одна, только навести курсор и остановить задачу. Потом Новая задача - explorer.exe, устанавливаем антивирус - и готово

Таки Virus Removal Tool 2010 у меня эти баннеры щёлкал как семечки

[S10]

zexus

Ctrl+Shift+Esc фильтруется. Малварь абсолютно свежая, нет ее в базах.

 

поделка разумеется) я юзал 1,5 годовалую сборку)))

Тогда нафиг не нужна, вопрос снят.

[Vaquero]

zexus

Кстати да) У многих работают только буквы и цифры на клаве и ничего более....Соответственно залипание клавиш тоже не выходит(((

[ДДТ]

S10

Я про 10 путей автозапуска, а не про 10 ключей Userinit. На вскидку помню только популярный некогда раздел

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Согласен, я что-то прогнал, отвлекали. Я подумал ты only про Userinit речь ведешь.

Slifi

DDT там компьютер или ноутбук?

Компьютер стационарный.

Есть принципиальные отличия? Хотя да, есть, у ноутбуков есть своя система восстановления системы.

 

Диспетчер задач, скорее всего открывается и тут же закрывается. Происходит быстрое мигание на экране, как будто что-то открылось и тут же закрылось. Комп не слабый. Кстати есть интересная штука, баннер формирует динамический процесс nvcvc32.exe который я вычислил под Вистой. Под Линуксом пытался найти этот файл на винте - безрезультатно. Нет его.

 

До больного компа доберусь теперь только в понедельник. Есть одна идея как найти заразу. По результатам сообщу.

[Vaquero]

nvsvc32.exe (NVIDIA Driver Helper Service) – процесс, использующийся драйверами NVIDIA.

попробуй поискать Rundll.bat

Возможно сидит тут c:\windows\rundll.bat.