Люди помогите кто что знает!
Сегодня знакомая попросила помочь с проблемой в ее офисе! На рабочем столе появляется окно оплаты через смс какого-то порно сайта и главное поверх остальных окон как не крути (перезагрузка не помогает)! Говорит, что как обычно обновляла прогу "Stamina" (это что-то по бугучету) и вдруг это окно в правом нижнем углу экрана! Я нашел исполняющий файл и удалил его... казалось бы все хорошо это окно исчезло! Но как только пытаешся запустить какую-нибудь прогу (хоть тот же MS Word) она не запускается а появляется другое полупрозрачное окно на половину экрана и так же запускается поверх всех окон! Убиваю процесс rundll32.exe и окно исчезает! Что я только не делал, где я только не искал... нахожу файл, удаляю его, пробую запустить MS Word или любые другие проги и это окно опять вот оно а файл там уже с другим именем! Казалось бы проще было бы форматнуть диск и поставить систему заново... да там стоят две проги (Stamina и вроде Kristin она называется) а их регистрация не дешево стоит! Кстати Norton Internet Sequrity постоянно находит SONAR высокой степени йгрозы.

Может кто-нибудь знает, что можно сделать с этим?

Заранее всем спасибо! [Ответ]

Попробуй другим антивирусом проверить комп в режиме "сканировать до загрузки ОС". [Ответ]

ONEILL95, нужен лайф сд с антивирусом. загрузился с него вылечил систему.
http://www.freedrweb.com/livecd/ а вообще в нете решений миллион, погугли. там просто надо какие файлы снести и никогда не пользоваться екплорером. [Ответ]

ferrum26; tirael, спасибо, за советы - у самого просто руки опустились! Надо будет обязательно попробовать! [Ответ]

Идешь туда
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

и смотришь значения userinit и shell. Обычно такая гадость подменяет запуск эксплорера своей оболочкой. [Ответ]

Z@PODLO, спасибо тебе огромное - в таком случае и никакой антивирус не помог бы!

Я думаю эта темка многим поможет... и не только мне! Руки бы по оборвать умельцам, которые пишут такие проги блин! [Ответ]

ONEILL95, да не за что. Руки оторвать нерадивым пользователям надо, что бы антивирусы юзали "до того", а не после [Ответ]

Сообщение от Z@PODLO:
ONEILL95, да не за что. Руки оторвать нерадивым пользователям надо, что бы антивирусы юзали "до того", а не после

Блин вот тут ты прав на все 100%! Но согласись, если бы такая гадость не писалась то и дергаться не пришлось бы по подобному поводу!

Пробовал и в реестре и с антивирусами... не получается! В реестре по указанному ключу параметра Shell вообще не было! Создал его и безтолково! Правда после перезагрузки первую минуту работает нормально а потом опять такая же фигня! Пробовал TuneUp Utilites - исправление реестра... тоже беспонт!
Есть у кого еще какие мыслишки? [Ответ]

Скрин ветки реестра фстудию... [Ответ]

попадался я тоже на такую штуку - весь вечер сидел титекался
еще эта штука диспетчер задач отрубает
все перепробывал
на комп залезть и хоть чтото попробывать смог только запустив винду с поддержкой командной строки - так я смог полазить и посмотреть - нашел файлы - удалял непомогло
просканил касперским с более менее новыми базами - ниче не нашел
делал шаманства с реестром - по инструкциям какимто из инета не помогло - но диспетчер включать научился
знакомы сказал что говорят введи семь нулей - я подумал что он пошутил
когда уже почти смирился что переустанавливать винду - вспомнил про семь нулей - ввел и разблокировалось

я представляю когда комп нужен позарез, а тут такая штука и смс активации отправишь лишьбы разблокировать

зы если семь нулей не подойдет, то рой интернет, иначе наверно тока винду переустанавливать

антивирус был и до этого случая, но временами его отрубал, так и было в тот раз. Терь антивирус всегда включен. [Ответ]

-JinX-, спасибо попробую семь нолей... мож и правда получится!

Z@PODLO, скрин смогу разместить или в обед или вечером - комп находится у девченки в офисе и сейчас до него не добраться! [Ответ]

Сообщение от Z@PODLO:
Скрин ветки реестра фстудию...

Вот эти скрины! Параметра "Shell" со значением "explorer.exe" вообще не существовало - добавил сам и не помогло!

Сообщение от -JinX-:
вспомнил про семь нулей - ввел и разблокировалось

Попробовал ввести семь нулей - не получилось!
Изображения
   

[Ответ]

грузанись с флэшки и замени сам explorer.exe с какой нить незараженной системы [Ответ]

Сообщение от Z@PODLO:
грузанись с флэшки и замени сам explorer.exe с какой нить незараженной системы

Менял и explorer.exe и userinit.exe ставил от своей системы! Таже фигня! [Ответ]

ну тогда надо по реестру покопаться, откуда стартует это приложение... пройтись п осистемным папкам в поисках экзешников левых... Вобщем трудоемкая процедура [Ответ]

Эта гадость кстати создает и использует файлы под разными именами вот здесь: C:\Documents and Settings\Us\Local Settings\Temp\
Norton Internet Security распознает эти файлы как Win32.Sality.AE [Ответ]

Вобщем не выдержало мое сердце! Псотавил новую систему поверх старой! Прога... та самая Stimate вроде не слетела... ну реестр то обговился и записи о ней там не было но благо в папке был файлик с ключем реестра - добавил его и все вроде работает! Осталось правда много мусора от старой системы зато новая теперь работает по быстрее и без ошибок а в старой запуск любой из програм начинался с какой-нибудь ошибки!
Спасибо всем, кто хоть как то пытался помоч! [Ответ]

Бухахахаххахахахахать =) я нашел самый верный и простой способ без антивирей и всякой хрени =) если кароч в процессе загрузки этой хрени выключить компьютер вилкой, то где то раза с 20го файл становица нечитаемым и винь грузит по умолчанию свою хрень =) в 3ёх случаях из 3х помогло =) один раз даже всего попытки с 3ей =)

ПС. Тольк выключать над именно вилкой чтоб попасть в тот момент когда надо =) ножом пробовать не стоит (тольк на свой страх и риск), хм... существует доля вероятности что какойнть виндовый файл тож похерица, поэтому советую пробовать или перед самой пеереустановкой системы или есль нежалко на рутовом диске ничего =) [Ответ]

flar, можно в принципе сразу приметь к компьютеру живительную эвтаназию кувалдой. чтобы не мучался. и проблем никаких. [Ответ]

Сообщение от flar:
хм... существует доля вероятности что какойнть виндовый файл тож похерица, поэтому советую пробовать или перед самой пеереустановкой системы или есль нежалко на рутовом диске ничего =)

Да... но таким образом можно и железо попалить! К примеру блок питания или сам винч, есть так же вероятность того, что на винче появятся от этого Bad блоки и многое, многое другое! Но когда такая хрень достает - ложишь прибор на все возможные последствия (только бы избавиться от такой напасти)! [Ответ]

ONEILL95, винт можн убить тольк если в процессе кручения блинов потрясти его или стукнуть - есль он будет неподвижен - питанием не убьешь его... да и бп оч мало вероятно убить так =) [Ответ]

flar, у тебя винчестеры от перебоя питания не горели? Я подозреваю, что нет а у меня горели... я живу в частном секторе и постоянно какие-то умельцы что-то варят электро-сваркой - от этого напряжение прыгает "мама не горюй" а иногда электричество просто отключает ГорСеть (обрыв линии где-нибуд или просто им так за хотелось)! Вот от этого не только у меня но и у соседей частенько выгорают винчестеры и блоки питания. Я правда последние несколько лет использую ИБП и проблемы такие меня обходят.
Потому я знаю, что выдергивать работающий ПК из разетки это последние меры - если ничего другое больше не помогает. Поверь... проверил на личном опыте. [Ответ]

ONEILL95, дык =) никто с вами и не спорит =) а винт пофторюсь =) может полететь тольк если его пнуть в рабочем состоянии =) вот мать сгорит или контроллер сата, ийди эт да.... самый прост способ решения броблемы - посмотреть на сайте не помню каком но если надо могу найти - номер телефона и сообщение которое над отправлятьб - он выдает код и снимает блокировку - работает 100% проверено около 7 раз.

В личку если сайт срочн надо.... [Ответ]

Нашел сайт "Сервис деактивации вымогателей-блокеров" вводишь номер на который требуют отправить смс, потом текст сообщения который требуют отправить на этот номер и жмеш "получить код". Вписываешь этот код куда надо и смс вымогатели обламываются!
Вот этот адрес:
http://virusinfo.info/deblocker/
Изображения
  [Ответ]

На самом деле есть куда более простой способ. Лечил такое на трех компах, везде разные были варианты, везде стояли касперские между прочим - не помогли. Фигня эта появляется обычно при попытке пользователя установить "новый флеш-плеер" или " некую прогу/плагин" для якобы просмотра видео или лучшей работы сайта. Иногда достаточно похоже просто ткнуть на "закрывающий" крестик всплывающего окна.

Лечится эта пакость проще всего загрузкой в безопасном режиме и откатом (восстановлением системы) к предыдущему состоянию. 2 раза применял это. Один раз было более серьезно, баннер был на весь экран восстановление не запускалось. Тогда грузился с флешки и чистил систему антивирусом AVZ.

Чтобы не словить эту хрень, не пытайтесь закрывать крестиком и тем более не щелкайте подозрительные всплывющие окна, лучше закрывайте их через панель задач или диспечера задач. [Ответ]

тоже помогает http://support.kaspersky.ru/viruses/deblocker

http://www.drweb.com/unlocker/index/?lng=ru

а ещё помогает простое восстановление системы [Ответ]

Сообщение от ONEILL95:
Вот эти скрины! Параметра "Shell" со значением "explorer.exe" вообще не существовало - добавил сам и не помогло!


Попробовал ввести семь нулей - не получилось!

пробуй.....

Сообщение от :
Код разблокировки: 14531980
572244
192738
ub5761
4853713
567891
13616
5244000
0000-000
780976702 // проверьте этот код в первую очередь
544625144 // проверьте этот код в первую очередь
290954419
317964052
A4Nh15
00675714217
096521
9910276
450850665
3183391588

Сообщение от :
Код разблокировки: 10158112

[Ответ]

Что Вы тут все паритесь с советами?! Вот решение всех проблем-
http://support.kaspersky.ru/viruses/deblocker [Ответ]

Сервис деактивации вымогателей-блокеров [Ответ]

Эти блокеры не имеют стандартного пути "лечения". Их огромное кол-во модификаций. И во многих случаях нужен "творческий подход" [Ответ]