рекламный модуль эро-сайта
 

здравствуйте, данный рекламный модуль, который вымогает деньги полностью блокирует windows: не работает ни одна кнопка, даже мышка не шевелится!
рекламный модуль эро-сайта xnxx.com - его полное имя
У меня есть вторая ОС Win 7 x64 с помощью этой ОС и хотелось бы избавиться от проблемы.
Только вот кроме как скачать dr web cureit, Kaspersky Virus Removal Tool 2010 и проверить зараженную ОС (Win XP Pro x 86) ни чего в голову не пришло.
Проверил, что то удалил но не помогло!
Прошу помощи господа!!!!!!

удалось сфотографировать на телефон

Здравствуйте!

Попробуйте код разблокировки - 12345 сделать 2 попытки ввода данного кода
Ввод кода может быть затруднен - особенность работы блокера. Для ввода потребуется следующее: счелкать мышкой на поле ввода и тут же нажимать кнопку 1, это позволит ввести цифру 1. Если не получается - попробовать попытку еще раз. Таким образом ввести весь код.

zirreX, я бы с радостью попробовал, но на зараженной ОС не работает ни клавиатура, ни мышь (курсор не шевелится вообще)
я имел ввиду варинт удаления вредоносных файлов с жесткого диска с зараженной ОС XP с помощью другой ОС, которая запускается нормально, и видит все диски моего ПК. Но суть в том что я не знаю что удалить, и антивирусы в том числе!

sepembra,
1. Скачайте образ, например: ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
Ветка
Параметр
Сообщение параметра напишите здесь

Ветка

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

Правильное значения для Userinit это

sepembra, для доступа к реестру другой ОС можете воспользоваться Программа AutoRuns для Windows, небольшая инструкция. Найдите разделы и параметры, указанные zirreX, и приведите их в нормальное состояние.
После окончания работы с оффлайн-реестром не забудьте выгрузить кусты!!!

okshef, autoruns не работает, при сканировании зараженной ОС пишет: возникшая проблема привела к прекращению работы программы !
goredey, как на флешку записать ERD Commander ?

http://www.freedrweb.com/livecd/how_it_works/


а эта утилита подойдет?

Подойдет

я каким то образом натыкал в баннер код 12345 несколько раз, закрыл баннер, щас пытаюсь удалить вирус пока не перезагружался, на зараженной винде сижу!
может еще что то подскажите?


AppInit_DLLs - значение пустое
значения Shell - Explorer.exe
значения для Userinit в ветке Winlogon - C:\WINDOWS\system32\userinit.exe,

sepembra, попробуйте выполнить логи AVZ

http://forum.oszone.net/thread-98169.html

готово!

sepembra, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Что с проблемами?
+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

скрипт выполнил


результаты сканирования Malwarebytes' Anti-Malware:



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5382

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.12.2010 4:03:09
mbam-log-2010-12-24 (04-03-02).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 190424
Времени прошло: 13 минут, 58 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 1

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\system volume information\_restore{383229f8-81bf-4f57-a796-3a5d26ccc9ce}\RP164\A0068613.exe (Trojan.Agent) -> No action taken.

удалить объекты?

sepembra, удалите

удалил


а это что вы предлагаете?

Удалите данную строчку. Что с проблемами?

goredey, я все удалил!
с какими пробелами?


в данный момент ни каких симптомов заражения не наблюдается

sepembra, если проблем никаких нет закончим лечение
Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

goredey, СПАСИбо тебе огромное за помощь!!111