Перейти к контенту
Форум сети ОТС

РазБлокировка Windows

dexter

Автор: dexter,
в Help

 Share

Recommended Posts

Slaven Newbie

Slaven

Опубликовано
Опубликовано

Slaven

Попытался поступить указанным способом, но после редакции указанного файла не даётся его сохранить

Какого именно файла? Hosts?- снимите атрибуты "read only" и "system".

Возможно вирус в данный момент загружен в память и блокирует доступ к файлу или, на оборот, антивирусник блокирует изменения.

 

 

 

Спасибо.

 

 

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

Ссылка на комментарий
Поделиться на других сайтах
  • Ответы 84
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Googlik
Googlik

Если человек компьютерный ремонт открыл зачем завидовать и злиться? Откройте свой)) Я например умею баннер снимать, но когда он появиться ставлю ОС заново. Из принципа( дерьмо оно везде остается)

Алексей
Алексей

А про HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00х\Services\Tcpip\Parameters\PersistentRoutes, в которых тоже должно быть пусто? Как раз там и забиваются (и лочатся, соответственно) все айпи популярных рес

Александр Запольских
Александр Запольских

На днях столкнулся с чудо-банером(венец творения этих мошенников). На вид стандартный банер. В реестре прописывается в туже ветку(winlogon/shell). После правки реестра через ЕРД(безопасник с командоно

Posted Images

fanazipan Newbie

fanazipan

Опубликовано
Опубликовано (изменено)

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

 

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Изменено пользователем fanazipan
Ссылка на комментарий
Поделиться на других сайтах
Slaven Newbie

Slaven

Опубликовано
Опубликовано (изменено)

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

Изменено пользователем Slaven
Ссылка на комментарий
Поделиться на других сайтах
fanazipan Newbie

fanazipan

Опубликовано
Опубликовано

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

 

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

Ссылка на комментарий
Поделиться на других сайтах
Slaven Newbie

Slaven

Опубликовано
Опубликовано

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

 

 

 

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web, выглядит и работает одинаково. Работа того и другого вирусов не выявляет.

 

 

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Ссылка на комментарий
Поделиться на других сайтах
Vladislav_A Newbie

Vladislav_A

Опубликовано
Опубликовано

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

Ссылка на комментарий
Поделиться на других сайтах
Slaven Newbie

Slaven

Опубликовано
Опубликовано

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

 

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Видимо, придётся переустанавливать систему ...

Ссылка на комментарий
Поделиться на других сайтах
ilyaplot Newbie

ilyaplot

Опубликовано
Опубликовано

Это не вирусы, а последствия. А может стоить попробовать средство удаления вредоносных программ от самих разработчиков гнилой оси?

Ссылка на комментарий
Поделиться на других сайтах
Vladislav_A Newbie

Vladislav_A

Опубликовано
Опубликовано

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

Ссылка на комментарий
Поделиться на других сайтах
Slaven Newbie

Slaven

Опубликовано
Опубликовано

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

 

 

Да, пробовал - тишина и никаких перемен.

 

 

Подскажите лучше, как на ноутбуке Windows переустановить? Он где-то на жёстком диске намертно прописан, насколько я знаю, так что никаких диском не потребуется, но как его заставить переустановиться? Какая последовательность действий?

Ссылка на комментарий
Поделиться на других сайтах
Vladislav_A Newbie

Vladislav_A

Опубликовано
Опубликовано

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

Ссылка на комментарий
Поделиться на других сайтах
Slaven Newbie

Slaven

Опубликовано
Опубликовано

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

 

А ларчик открывался просто: Alt + F10 и вуаля - чистый, как слеза комсомолки, Windows и отсутствие вирусов и их последствий!-))

Ссылка на комментарий
Поделиться на других сайтах
  • 4 weeks later...
Александр Запольских Newbie

Александр Запольских

Опубликовано
Опубликовано (изменено)

На днях столкнулся с чудо-банером(венец творения этих мошенников). На вид стандартный банер. В реестре прописывается в туже ветку(winlogon/shell). После правки реестра через ЕРД(безопасник с командоной строкой выдаёт тоже банер) и удаления исходника(в моём случае он лежал Документ&сетингс\АллЮзерс\АпликэйшнДата\С2Н4Апаа.ехе) после перезагрузки банер остался. Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

 

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

в том числе и их резервные копии по C:\WINDOWS\system32\dllcache

Лечится как обычно + с флешки в виндовс/систем32 закидываем эти два файлика(предварительно записанные конечно.)

 

 

 

 

Файлики для ХП хомяк идишн sp3 (лицуха)прикреплены. Под иные версии виндов заблаговременно сохраняйте сами.

userinit.zip

taskmgr.zip

post-626-0-80996900-1306325937_thumb.jpg

Изменено пользователем 1111
  • Like 1
Ссылка на комментарий
Поделиться на других сайтах
Vladislav_A Newbie

Vladislav_A

Опубликовано
Опубликовано

1111

Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

Есть такая утилита от Марка Руссиновича - Autoruns называется. Так вот она, по мимо прочего, показывает и электронную подпись файлов, которая у виросов отсутствует. Правда, по сведениям из интернета, хакерам удалось утянуть две подписи производителей - Samsung и Realtek :unsure:/>

Ссылка на комментарий
Поделиться на других сайтах
ilyaplot Newbie

ilyaplot

Опубликовано
Опубликовано (изменено)

Вот они, родные http://habrahabr.ru/company/kaspersky/blog/119959/

 

И если до настоящего момента мы могли предложить вам только бесплатную утилиту support.kaspersky.ru/viruses/deblocker, то сейчас завершаем работу над новым инструментом, который представим в одном из следующих постов.

 

Тема =)

Изменено пользователем ilyaplot
Ссылка на комментарий
Поделиться на других сайтах
Алексей Newbie

Алексей

Опубликовано
Опубликовано

Вы чего, какие два дня? Грузитесь с любого LiveCD на основе Винды (у меня Alkid) и удаляете эти два зачухонца. Userinit оригинальный лежит там же (c:\win\system32) только переименованный в цифры (типа 420125.exe), но в строке состояния его название видно. А taskmgr можно скопировать из системной папки загрузочного диска. И все...

Ссылка на комментарий
Поделиться на других сайтах
Александр Запольских Newbie

Александр Запольских

Опубликовано
Опубликовано

Умные все стали, вам не угодишь.

 

Для умных: Требуется последовательность действий по лечению этого банера на наигнилейшей оси Win7 ultimate.

 

 

 

 

Банер можно поймать тут http://www.3akachai.ru/view_programm.php?id=42 (нубам ради всего святого НЕ ТЫКАТЬ)

Ссылка на комментарий
Поделиться на других сайтах
dexter Newbie

dexter

Опубликовано
  • Автор
Опубликовано (изменено)

Сижу качаю, много там для баннера 18 метров.

 

Баннер-то где? Бабки просят за установку веба пятого отправить и все.

 

Всем остальным стоит хорошо подумать перед тем как переходить по ссылке выше. На свой страх и риск.

Напомню, что ТП ОТС не убирает баннеры, этим занимается фирма АРГО.

Изменено пользователем dexter
Ссылка на комментарий
Поделиться на других сайтах

Пожалуйста, авторизуйтесь, чтобы оставить комментарий

Вы сможете оставлять комментарии после авторизации



Войти
 Share
Перейти к списку тем

  • Недавно просматривали   0 пользователей

    • Ни один зарегистрированный пользователь не просматривает эту страницу.
×
×
  • Создать...