dexter

РазБлокировка Windows

85 сообщений в этой теме

Slaven

Попытался поступить указанным способом, но после редакции указанного файла не даётся его сохранить

Какого именно файла? Hosts?- снимите атрибуты "read only" и "system".

Возможно вирус в данный момент загружен в память и блокирует доступ к файлу или, на оборот, антивирусник блокирует изменения.

 

 

 

Спасибо.

 

 

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

 

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Изменено пользователем fanazipan

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

Изменено пользователем Slaven

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

 

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

 

 

 

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web, выглядит и работает одинаково. Работа того и другого вирусов не выявляет.

 

 

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

 

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Видимо, придётся переустанавливать систему ...

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это не вирусы, а последствия. А может стоить попробовать средство удаления вредоносных программ от самих разработчиков гнилой оси?

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

 

 

Да, пробовал - тишина и никаких перемен.

 

 

Подскажите лучше, как на ноутбуке Windows переустановить? Он где-то на жёстком диске намертно прописан, насколько я знаю, так что никаких диском не потребуется, но как его заставить переустановиться? Какая последовательность действий?

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

 

А ларчик открывался просто: Alt + F10 и вуаля - чистый, как слеза комсомолки, Windows и отсутствие вирусов и их последствий!-))

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

На днях столкнулся с чудо-банером(венец творения этих мошенников). На вид стандартный банер. В реестре прописывается в туже ветку(winlogon/shell). После правки реестра через ЕРД(безопасник с командоной строкой выдаёт тоже банер) и удаления исходника(в моём случае он лежал Документ&сетингс\АллЮзерс\АпликэйшнДата\С2Н4Апаа.ехе) после перезагрузки банер остался. Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

 

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

в том числе и их резервные копии по C:\WINDOWS\system32\dllcache

Лечится как обычно + с флешки в виндовс/систем32 закидываем эти два файлика(предварительно записанные конечно.)

 

 

 

 

Файлики для ХП хомяк идишн sp3 (лицуха)прикреплены. Под иные версии виндов заблаговременно сохраняйте сами.

userinit.zip

taskmgr.zip

post-626-0-80996900-1306325937_thumb.jpg

Изменено пользователем 1111
  • Like 1

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сам сталкивался с таким два раза. Два дня у меня не было, пришлось людям переставлять систему.

Где они их ловят?

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

1111

Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

Есть такая утилита от Марка Руссиновича - Autoruns называется. Так вот она, по мимо прочего, показывает и электронную подпись файлов, которая у виросов отсутствует. Правда, по сведениям из интернета, хакерам удалось утянуть две подписи производителей - Samsung и Realtek :unsure:/>

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот они, родные http://habrahabr.ru/company/kaspersky/blog/119959/

 

И если до настоящего момента мы могли предложить вам только бесплатную утилиту support.kaspersky.ru/viruses/deblocker, то сейчас завершаем работу над новым инструментом, который представим в одном из следующих постов.

 

Тема =)

Изменено пользователем ilyaplot

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы чего, какие два дня? Грузитесь с любого LiveCD на основе Винды (у меня Alkid) и удаляете эти два зачухонца. Userinit оригинальный лежит там же (c:\win\system32) только переименованный в цифры (типа 420125.exe), но в строке состояния его название видно. А taskmgr можно скопировать из системной папки загрузочного диска. И все...

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Умные все стали, вам не угодишь.

 

Для умных: Требуется последовательность действий по лечению этого банера на наигнилейшей оси Win7 ultimate.

 

 

 

 

Банер можно поймать тут http://www.3akachai.ru/view_programm.php?id=42 (нубам ради всего святого НЕ ТЫКАТЬ)

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сижу качаю, много там для баннера 18 метров.

 

Баннер-то где? Бабки просят за установку веба пятого отправить и все.

 

Всем остальным стоит хорошо подумать перед тем как переходить по ссылке выше. На свой страх и риск.

Напомню, что ТП ОТС не убирает баннеры, этим занимается фирма АРГО.

Изменено пользователем dexter

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

после отмены установки веба за бало должОн появиться

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или авторизуйтесь, чтобы оставить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Создать аккаунт

Зарегистрировать новый аккаунт в нашем сообществе. Это несложно!

Зарегистрировать новый аккаунт

Войти

Есть аккаунт? Войти.

Войти

  • Недавно просматривали   0 пользователей

    Ни один зарегистрированный пользователь не просматривает эту страницу.