Перейти к контенту

РазБлокировка Windows


dexter

Recommended Posts

Slaven

Попытался поступить указанным способом, но после редакции указанного файла не даётся его сохранить

Какого именно файла? Hosts?- снимите атрибуты "read only" и "system".

Возможно вирус в данный момент загружен в память и блокирует доступ к файлу или, на оборот, антивирусник блокирует изменения.

 

 

 

Спасибо.

 

 

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

Ссылка на комментарий
Поделиться на других сайтах

  • Ответы 84
  • Created
  • Последний ответ

Top Posters In This Topic

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

 

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Изменено пользователем fanazipan
Ссылка на комментарий
Поделиться на других сайтах

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

Изменено пользователем Slaven
Ссылка на комментарий
Поделиться на других сайтах

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

 

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

Ссылка на комментарий
Поделиться на других сайтах

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

 

 

 

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web, выглядит и работает одинаково. Работа того и другого вирусов не выявляет.

 

 

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Ссылка на комментарий
Поделиться на других сайтах

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

Ссылка на комментарий
Поделиться на других сайтах

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

 

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Видимо, придётся переустанавливать систему ...

Ссылка на комментарий
Поделиться на других сайтах

Это не вирусы, а последствия. А может стоить попробовать средство удаления вредоносных программ от самих разработчиков гнилой оси?

Ссылка на комментарий
Поделиться на других сайтах

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

Ссылка на комментарий
Поделиться на других сайтах

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

 

 

Да, пробовал - тишина и никаких перемен.

 

 

Подскажите лучше, как на ноутбуке Windows переустановить? Он где-то на жёстком диске намертно прописан, насколько я знаю, так что никаких диском не потребуется, но как его заставить переустановиться? Какая последовательность действий?

Ссылка на комментарий
Поделиться на других сайтах

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

Ссылка на комментарий
Поделиться на других сайтах

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

 

А ларчик открывался просто: Alt + F10 и вуаля - чистый, как слеза комсомолки, Windows и отсутствие вирусов и их последствий!-))

Ссылка на комментарий
Поделиться на других сайтах

  • 4 weeks later...

На днях столкнулся с чудо-банером(венец творения этих мошенников). На вид стандартный банер. В реестре прописывается в туже ветку(winlogon/shell). После правки реестра через ЕРД(безопасник с командоной строкой выдаёт тоже банер) и удаления исходника(в моём случае он лежал Документ&сетингс\АллЮзерс\АпликэйшнДата\С2Н4Апаа.ехе) после перезагрузки банер остался. Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

 

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

в том числе и их резервные копии по C:\WINDOWS\system32\dllcache

Лечится как обычно + с флешки в виндовс/систем32 закидываем эти два файлика(предварительно записанные конечно.)

 

 

 

 

Файлики для ХП хомяк идишн sp3 (лицуха)прикреплены. Под иные версии виндов заблаговременно сохраняйте сами.

userinit.zip

taskmgr.zip

post-626-0-80996900-1306325937_thumb.jpg

Изменено пользователем 1111
  • Like 1
Ссылка на комментарий
Поделиться на других сайтах

1111

Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

Есть такая утилита от Марка Руссиновича - Autoruns называется. Так вот она, по мимо прочего, показывает и электронную подпись файлов, которая у виросов отсутствует. Правда, по сведениям из интернета, хакерам удалось утянуть две подписи производителей - Samsung и Realtek :unsure:/>

Ссылка на комментарий
Поделиться на других сайтах

Вот они, родные http://habrahabr.ru/company/kaspersky/blog/119959/

 

И если до настоящего момента мы могли предложить вам только бесплатную утилиту support.kaspersky.ru/viruses/deblocker, то сейчас завершаем работу над новым инструментом, который представим в одном из следующих постов.

 

Тема =)

Изменено пользователем ilyaplot
Ссылка на комментарий
Поделиться на других сайтах

Вы чего, какие два дня? Грузитесь с любого LiveCD на основе Винды (у меня Alkid) и удаляете эти два зачухонца. Userinit оригинальный лежит там же (c:\win\system32) только переименованный в цифры (типа 420125.exe), но в строке состояния его название видно. А taskmgr можно скопировать из системной папки загрузочного диска. И все...

Ссылка на комментарий
Поделиться на других сайтах

Умные все стали, вам не угодишь.

 

Для умных: Требуется последовательность действий по лечению этого банера на наигнилейшей оси Win7 ultimate.

 

 

 

 

Банер можно поймать тут http://www.3akachai.ru/view_programm.php?id=42 (нубам ради всего святого НЕ ТЫКАТЬ)

Ссылка на комментарий
Поделиться на других сайтах

Сижу качаю, много там для баннера 18 метров.

 

Баннер-то где? Бабки просят за установку веба пятого отправить и все.

 

Всем остальным стоит хорошо подумать перед тем как переходить по ссылке выше. На свой страх и риск.

Напомню, что ТП ОТС не убирает баннеры, этим занимается фирма АРГО.

Изменено пользователем dexter
Ссылка на комментарий
Поделиться на других сайтах

Пожалуйста, авторизуйтесь, чтобы оставить комментарий

Вы сможете оставлять комментарии после авторизации



Войти
  • Недавно просматривали   0 пользователей

    • Ни один зарегистрированный пользователь не просматривает эту страницу.
×
×
  • Создать...