Словил баннер

[MadMedic]

Шарясь на просторах сети в опере на вин7 словил баннер-блокировщик. Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение что приложение Java изолировано от сети и передо мной осталась висеть картинка рабочего стола, а над ней собственно баннер примерно следующего вида и содержания. Будучи человеком несколько осведомленным, с мобильника залез на сайты доктора вэба и кашперского, но на мой введенный номер (79170195098 ) они сказали что кода разблокировки нету. Я несколько приуныл и решил потыкать ручками. На нажатие Win+L система блокировалась, а потом вновь являлся баннер, перезагружаться в сейф моде было лень. На нажатие Ctrl+Shift+Esc на мнгновенье открывался диспетчер задач, после чего исчезал.
Зажал Ctrl+Shift+Esc секунд на десять, баннер завис, а диспетчер задач остался. Процесс назывался 120032691.exe. После его убийства и запуска explorer.exe все вернулось на свои места. Единственным следом, оставленным в системе явилась строчка в автозапуске c:\users\boss\appdata\local\temp\120032691.exe.
DrWeb CureIt больше ничего не нашел.
Такие дела..

[den]

Если это рабочий номер хозяина вируса, то создай несколько объявлений на авито и укажи там этот номер ^_^

[ingko]

Сообщение от MadMedic

Шарясь на просторах сети в опере на вин7 словил баннер-блокировщик. Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение что приложение Java изолировано от сети и передо мной осталась висеть картинка рабочего стола, а над ней собственно баннер примерно следующего вида и содержания. Будучи человеком несколько осведомленным, с мобильника залез на сайты доктора вэба и кашперского, но на мой введенный номер (79170195098 ) они сказали что кода разблокировки нету. Я несколько приуныл и решил потыкать ручками. На нажатие Win+L система блокировалась, а потом вновь являлся баннер, перезагружаться в сейф моде было лень. На нажатие Ctrl+Shift+Esc на мнгновенье открывался диспетчер задач, после чего исчезал.
Зажал Ctrl+Shift+Esc секунд на десять, баннер завис, а диспетчер задач остался. Процесс назывался 120032691.exe. После его убийства и запуска explorer.exe все вернулось на свои места. Единственным следом, оставленным в системе явилась строчка в автозапуске c:\users\boss\appdata\local\temp\120032691.exe.
DrWeb CureIt больше ничего не нашел.
Такие дела..

Ну, да... Обычно они еще могут заражать собой Explorer.exe, но, думаю, в Семерке это не такое простое дело...

[SBJoker]

Если сидеть под админом да с выключенным UAC то всё что угодно.

[ABTOMAT]

Сообщение от MadMedic

Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение...

...а UAC ты естественно выключил сразу после установки Винды

Грузись теперь в safe mode и вилкой чисти, других способов пока особо не придумали.

[St_AnGer]

Безопасный режим с поддержкой командной строки тебя спасёт. ТАм запустишь explorer (ну или если по православному - прям из cmd и почистишь все лишнии файлы). Сноси/чисти папку Temp в пользователе своём, проверяй Program Files и ProgramData на наличие подозретильных папок (с именами VTrusah, Mazilla, Opira и т.д.) и сноси всё лишнее. В реестре надо поправить ключ запуска explorer.exe, точно не помню где находится, но при наличии интернета нагуглить не трудно.

[Nex]

Практически все баннеры можно убить через диспетчер, главное настойчиво долбить по трем святым клавишам и пытаться успеть убить процесс прежде чем закроется диспетчер.
Есть еще один вариант. Если на компе имеется второй пользователь, то можно "сменить пользователя", зайти под другим пользователем и через диспетчер убить процесс.

[ARA]

Не гарантирую что нижеприведённый сайт тоже не лохотрон :D
http://virusclose.ru/key/number/9170195098
Возможно подойдут коды:
1. 936406
2. 847832
3. 963442
4. 808384
5. 846871
6. 830325

[ingko]

Сообщение от SBJoker

Если сидеть под админом да с выключенным UAC то всё что угодно.

Нет, я про xp говорил... А все UAC-и обходятся на раз, если заразить системный процесс.

[Nex]

Сообщение от ingko

Нет, я про xp говорил... А все UAC-и обходятся на раз, если заразить системный процесс.

Что бы заразить системный процесс надо обойти uac..

[Dream]

а я на днях поймал гдето троян. Сидел себе никого не трогал. запустил IE9 зашел на почту. зыкрываю эксплорер. тут бац - выскакивает сообщение типа изменения в msconfig - "Перегрузить?". ну я быстренько нажал отмена, открыл конфиг увидел в автозапуске какойто непонятный файл в Roming. зашел удалил его. и всё ок. UAC включен

[DStalk]

На правах холиварчика:

Виндопроблемы-виндопроблемушки

[ingko]

Сообщение от Nex

Что бы заразить системный процесс надо обойти uac..

Не обязательно совсем

Сообщение от ingko

Не обязательно совсем

расскажи нам как ты ломал пентагон и почту гейтца

[impersonalis]

Быть может ingko намекает на уязвимости вроде переполнения буфера, позволяющие выполнить некий шелл-код? Да - UAC обходить не надо (например известнейший kido активно юзал уязвимость в доверенном процессе svchost), но:
1) формально это не заражение
2) такие ошибки долго не живут и исправляются обновлениями ОС

Так что, присоединюсь к ДядеДиме