Jump to content
dexter

РазБлокировка Windows

Recommended Posts

Slaven

Попытался поступить указанным способом, но после редакции указанного файла не даётся его сохранить

Какого именно файла? Hosts?- снимите атрибуты "read only" и "system".

Возможно вирус в данный момент загружен в память и блокирует доступ к файлу или, на оборот, антивирусник блокирует изменения.

 

 

 

Спасибо.

 

 

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

Share this post


Link to post
Share on other sites

Вообще, ситуация выглядит следующим образом: поначалу вирус проявлял себя появлением стандартного сообщения о том, что нужно заплатить денежку, а то система накроется., и данное сообщение блокироровало загрузку рабочего стола. Проблема решалась запуском Диспетчера задач - Новая задача - explorer.exe, после чего рабочий стол загружался и  можно было спокойно работать. После чего я почистил все папки Temp, удалил из карантина DrWeb трояы, которые он туда поместил, а при перезагрузке компьютера были установлены обновления для Vista. После этого  зловредное сообщение изчезло, но рабочий стол всё равно не желает грузиться сам и ему нужно помогать указанным выше способом.

 

Может быть, что-нибудь, посоветуете? 

 

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Edited by fanazipan

Share this post


Link to post
Share on other sites

проверьте ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Должен быть строковый параметр Shell со значением Explorer.exe

 

Вирусы часто прописываются именно сюда, в вашем случае похоже так и есть, исправьте на Explorer.exe

 

з.ы. юзайте google, там всё есть )

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

Edited by Slaven

Share this post


Link to post
Share on other sites

Пытаюсь, но при сохранении появляется сообщение: "Не удаётся изменить Shell. Ошибка при записи нового значения параметра."

 

Я что-то не так делаю? 

 

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

Share this post


Link to post
Share on other sites

Это всё действие или последствия вирусов. Один из вариантов грузиться с лайвсиди с чистить реестр, другой - почисть последним Dr.Web CureIt

 

 

 

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web, выглядит и работает одинаково. Работа того и другого вирусов не выявляет.

 

 

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Share this post


Link to post
Share on other sites

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

Share this post


Link to post
Share on other sites

Slaven

Dr.Web CureIt не помогает. Вообще, я не понял, в чём его отличие от обычного Dr.Web

Почти ни в чем, если не считать лицензии и отсутствие realtime монитора у CureIt.

Попытался почистить реестр в режиме безопасной загрузки Windows, всё равно не удаётся сохранить изменения.

Возможно вирус изменил права доступа к этой ветке реестра. Или вы подхватили rootkit против которого Dr.Web бесполезен.

Прогоните систему через AVZ.

 

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Видимо, придётся переустанавливать систему ...

Share this post


Link to post
Share on other sites

Это не вирусы, а последствия. А может стоить попробовать средство удаления вредоносных программ от самих разработчиков гнилой оси?

Share this post


Link to post
Share on other sites

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

Share this post


Link to post
Share on other sites

Slaven

Пробовал AVZ, тоже самое: вирусов не обнаружено.

Параметры поиска устанавливали? AVZGuard включали?

"Восстановление системы" пробовали?

 

 

Да, пробовал - тишина и никаких перемен.

 

 

Подскажите лучше, как на ноутбуке Windows переустановить? Он где-то на жёстком диске намертно прописан, насколько я знаю, так что никаких диском не потребуется, но как его заставить переустановиться? Какая последовательность действий?

Share this post


Link to post
Share on other sites

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

Share this post


Link to post
Share on other sites

Подскажите лучше, как на ноутбуке Windows переустановить?

Ну на разных ноутах - по разному.

Иногда, в момент прохождения POST, надо нажать F12 (или другую клавишу указанную в нижней строке как "Express recovery")

 

А ларчик открывался просто: Alt + F10 и вуаля - чистый, как слеза комсомолки, Windows и отсутствие вирусов и их последствий!-))

Share this post


Link to post
Share on other sites

На днях столкнулся с чудо-банером(венец творения этих мошенников). На вид стандартный банер. В реестре прописывается в туже ветку(winlogon/shell). После правки реестра через ЕРД(безопасник с командоной строкой выдаёт тоже банер) и удаления исходника(в моём случае он лежал Документ&сетингс\АллЮзерс\АпликэйшнДата\С2Н4Апаа.ехе) после перезагрузки банер остался. Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

 

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

в том числе и их резервные копии по C:\WINDOWS\system32\dllcache

Лечится как обычно + с флешки в виндовс/систем32 закидываем эти два файлика(предварительно записанные конечно.)

 

 

 

 

Файлики для ХП хомяк идишн sp3 (лицуха)прикреплены. Под иные версии виндов заблаговременно сохраняйте сами.

userinit.zip

taskmgr.zip

post-626-0-80996900-1306325937_thumb.jpg

Edited by 1111
  • Like 1

Share this post


Link to post
Share on other sites

Сам сталкивался с таким два раза. Два дня у меня не было, пришлось людям переставлять систему.

Где они их ловят?

Share this post


Link to post
Share on other sites

1111

Оказывается эти твари акромя стандартного shell`а заменяют в windows/system32 два файла:

userinit.exe и taskmgr.exe (два дня ломал мозг что б это выяснить, в инете никакой инфы по этой чудо-новинке не нашел)

Есть такая утилита от Марка Руссиновича - Autoruns называется. Так вот она, по мимо прочего, показывает и электронную подпись файлов, которая у виросов отсутствует. Правда, по сведениям из интернета, хакерам удалось утянуть две подписи производителей - Samsung и Realtek :unsure:/>

Share this post


Link to post
Share on other sites

Вот они, родные http://habrahabr.ru/company/kaspersky/blog/119959/

 

И если до настоящего момента мы могли предложить вам только бесплатную утилиту support.kaspersky.ru/viruses/deblocker, то сейчас завершаем работу над новым инструментом, который представим в одном из следующих постов.

 

Тема =)

Edited by ilyaplot

Share this post


Link to post
Share on other sites

Вы чего, какие два дня? Грузитесь с любого LiveCD на основе Винды (у меня Alkid) и удаляете эти два зачухонца. Userinit оригинальный лежит там же (c:\win\system32) только переименованный в цифры (типа 420125.exe), но в строке состояния его название видно. А taskmgr можно скопировать из системной папки загрузочного диска. И все...

Share this post


Link to post
Share on other sites

Умные все стали, вам не угодишь.

 

Для умных: Требуется последовательность действий по лечению этого банера на наигнилейшей оси Win7 ultimate.

 

 

 

 

Банер можно поймать тут http://www.3akachai.ru/view_programm.php?id=42 (нубам ради всего святого НЕ ТЫКАТЬ)

Share this post


Link to post
Share on other sites

Сижу качаю, много там для баннера 18 метров.

 

Баннер-то где? Бабки просят за установку веба пятого отправить и все.

 

Всем остальным стоит хорошо подумать перед тем как переходить по ссылке выше. На свой страх и риск.

Напомню, что ТП ОТС не убирает баннеры, этим занимается фирма АРГО.

Edited by dexter

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...