может кому то будет интересно...
принесли ноутбук с баннером, который выходит сразу после прохождения процедуры post.
лечение-перезапись mbr , что я и сделал с консоли восстановления- fixmbr

может кому то будет интересно... »Открывает человек, не особо разбирающийся в компьютере, эту тему и видит две строки сообщения. Может быть уже подробно распишете процедуру? К тому же рекомендую проверить систему на вирусы, не всё удалили вы.

На самом деле интересно... Я ещё не видел баннеров, прописывающихся в MBR. Жалко, что скриншот с такого не снять.

рекомендую проверить систему на вирусы, не всё удалили вы. »
все я проверил уже в среде windows.
что скриншот с такого не снять. »
хотел сфотографировать да сам был в шоке от увиденного :) . вот и позабыл.
Может быть уже подробно распишете процедуру? »
1- в общем изначально вижу баннер, но процедуру загрузку "проворонил"(клиент уже сказал, что баннер.последние все "синенькие".тупо взглянул на экран, когда уже сам баннер "нарисовался".
- тут вижу почти на всю верхнюю половину красными буквами на темно синем фоне(скорее ближе к черному) текст(схожесть с текстами "обычных" баннеров налицо )
2- перегружаюсь- иду в erd commander.shell и userinit "чистые". подмены userinit нет.подмены taskmgr тоже.
3-проверяю run-ы вот там "подвязка" под загрузку модулей от adobe reader-не понравилось.снес.
4- из автозагрузки удалил пустые and , c:\documents и.т.д
5- в appdata нашел тоже двух зверьков. но не типа известных 22СС6С32.еxe а что то вроде menx.exe и xell.exe - снес.
6-прошелся по дате изменения файлов в windows - вроде ничего особенного- перезагрузился.
7-и вот тут и был удивлен загрузке баннера сразу после процедуры post.
8- всё стало ясно-загрузился с установочного диска в консоль восстановления- вывел команду fixmbr- перезагрузился.
9- загрузился в операционную систему-удалил avast free(прошелся по системе mbam,combofix,avptool проверил логи у HijackThis и avz(ничего серьёзного.)
10-очистил точки восстановления,прошелся чистильщиком(вначале avz - чистка системы, затем auslogics)
11-еще раз проверил интеграцию через Autoruns и Shexwiew(поудалял/запретил пару тройку ненужных параметров)
12-поудалял не нужные расширения у браузеров, добавил в каждый браузер "свой адблокер"(куки,кэшы снес. и историю заодно :teeth: )
13-установил kis-обновился-отдал клиенту.
вроде всё :)

p.s - не стал уже описывать процедуры обновления "адобов",джавы,запрет автозапуска в системе и.т.д

хотел сфотографировать да сам был в шоке от увиденного . вот и позабыл. »
любуйтесь на здоровье=)

любуйтесь на здоровье »
Красота какая. И ведь не боится, зараза, что привлекут по статье "вымогательство", светит номер. Чистая психология, за ЦП тоже по головке не погладят, даже если жертва им и не увлекается, а вдруг найдут, ггг.

И ведь не боится, зараза, что привлекут по статье "вымогательство", »
светит номер »
вы наверное не совсем понимаете систему получения номеров.
да и в каждм таком скачанном файле/или на сайте источника есть лицензионное соглашение,которое никто никогда не читает :)

Я такого номера еще не видел!

У меня такой же текст с таким же номером был но не чёрный экран а синий! Вылечить удавалось но толку было мало рабочий стол на отрез отказывался работать!

Рабочий стол восстанавливается довольно просто: в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe", в ключе Shell должно быть Explorer.exe Кроме того может понадобиться замена самого userinit.exe в папке C:\WINDOWS\system32\.
А вобще лучше скачайте и запишите на диск (СD)
образ AntiWinLockerLiveCD.iso, в меню загрузки выбирите boot from CD, загрузитесь в оболочку AntiWinLockerLiveCD нажмите кнопку "старт". И предоставте все сделать программе.

После того случая скачал! Буду использовать в случаи обращений клиентов!

Сегодня принесли ноут с вот таким симптомом:

http://i.piccy.info/i7/68472498dd874d8e9756c9a47837ba43/1-2-428/23005952/20110913_1444%281%29.jpg

Это появляется сразу после процедуры POST при загрузке с винчестера. До винды дело не доходит даже.

Вылечилось простым переводом часов в биосе на год вперед. Потом после загрузки винды. часы вернул обратно

Шо это было?.... Если было прописано в mbr , то каким образом помог перевод часов?...

Vowan,
Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер, как ни в чем не бывало.

Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер, как ни в чем не бывало. »
Так он че, типа самоликвидировался?

Так он че, типа самоликвидировался? »
да нет... просто запись mbr загружается "чистая". до поры до времени.

статейка (http://habrahabr.ru/company/kaspersky/blog/120964/) можете ознакомиться.

Так "эталонный отпечаток времени" не является постоянным значением, или что?

Так "эталонный отпечаток времени" не является постоянным значением, или что? »
насколько я понял- баннер смотрит на отпечаток своей первой сессии- если оно не попадает под эталон(меньше или больше "порядком")
то не срабатывает.имхо.
сильно не заморачиваюсь... хватает того,что знаю как с ним бороться.будет эволюционировать - с ним эволюционировать буду и я. :)

это будет повеселей
http://news.drweb.com/show/?i=1879&lng=ru&c=23

это будет повеселей
http://news.drweb.com/show/?i=1879&lng=ru&c=23 »
блин это ж надо писать...время/деньги.....
перезапись биос эт конечно жестко...
столкнутся бы... обычный сброс видимо не поможет... но ведь есть еще и энергонезависимая память.значит всё таки можно.
прошивка , конечно не в тему,но вирусописатели крепчают.это радует. :)

Помогите, если это возможно! При загрузке флеш плеера поймал банер, теперь комп практически в нерабочем состоянии - пробовал запустить в безопасном режиме - не запускается, пошол на крайние меры - форматнул диск С, таже история. Запускаю винду с болванки - идёт, но когда запустил тотал командер столкнулся с другой проблемой - не отображаютс жосткие диски. Хотя программа акроникс диск директор отображает всё как положено, и линокс с болванки тже всё видит. Думал что вирус прячется в оперативке, поставил на комп другой жосткий диск - банера нету. Сейчас зашол в нет с двд привода через линокс. Подскажите что мне делать!