Где-то подхватил блокиратор с девицами.
сайт ДРВЕБ определяет его как WINLOCK 2060 по картинке и по номеру смс, но подбирает не удачный код
Кто-нибудь знает как с этим бороться. Заблокировано все кроме питания.
Где-то подхватил блокиратор с девицами.
сайт ДРВЕБ определяет его как WINLOCK 2060 по картинке и по номеру смс, но подбирает не удачный код
Кто-нибудь знает как с этим бороться. Заблокировано все кроме питания.
Любитель
попробуй зайти на сайт касперского, там у них есть все коды
Там их сотня если не больше перепробовал примерно половину не помогло.Сообщение от Tonio82
попробуй зайти на сайт касперского, там у них есть все коды
Зараженный комп далеко от действующего.
Любитель
предлагаемые коды не действуют
Любитель
just flying....
-=*=O=*=-
Универсальный способ.
0. Идём на рабочую машину. К другу, на работу, в игнтернет-кафе, всё равно.
1. Ищем в интернетах LiveCD. Какой - абсолютно деревянно.
2. Выкачиваем его и пишем на болвань.
3. Приходим к "пациенту", вставляем LiveCD в привод, и грузимся с него.
4. Загрузив винду с LiveCD, первым делом идём в Пуск-Выполнить, набираем там "msconfig".
5. В появившемся конфигураторе на вкладке "Общие", убираешь галку "загружать элементы автозагрузки" и тыкаем "Ок".
6. Ребутаемся, вынимаем LiveCD, грузимся как обычно.
Есть и продолжение, на случай, если гадость прописывается как shell.
Попробуй сначала так, скажи что получится.
Русские варвары врывались в кишлаки, аулы, стойбища, оставляя после себя города, библиотеки, университеты и театры.
Правила - тут.
Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.
Любитель
Дополню следующее, обязательно удалить файлы в папках - Document and Settings\%user%\local settings\Temp,Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.
Также полезно проверить в паке Nethood\temp\ - там иногда прячутся гады всякие.
Неплохо заглянуть в раздел Programm Files\, если там есть какой - либо "ля-ляля.exe" - первый признак вируса. Его удалить нещадно.
-
Неплохо будет заглянуть в реестр типа \HKEY_LOCAL_MASHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
И проверить там параметр Shell? Там должен быть только Explorer.exe.
Там же проверить Userinit. Должно быть только написано - C:\Windows\system32\userinit.exe, - и не более того.
можно пощарить в разделе реестра - \HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Run\ или \RunOnce\ ..
там запуски для текущего пользователя, может там запускающий модуль вира.
Очень рекомендую найти и скачать из инета AVZ модуль. Там в разделе "Файл" есть опция "восстановление системы". Через неё можно много чего сделать. например восстановить ключ запуска Explorer-a.
Это модуль рекомендуется запускать вместе со скаченным CureIT (от DRWEB) с предварительно записанного CD-R или CDRW. Что бы не было противодействия.
Вот только сегодня таким способом "выгрыз" руткит.
Если не запускается в "безопасном режиме", то надо запустить в режиме "командной строки", и оттуда вести все действия, запуская прроги в ручную.
Тоже хотел написать. Но меня опередили.
Плюсы "безопасного режима командной строки" - то что explorer.exe не запускается, и userinit тоже.
// 地辟于丑 - Земля рождена в час Быка
попробовал не помогает.Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.
все тмп пустые.
как можно проверить WINLOGON у меня только ввиде екзешника довольно длинного что там можно усмотреть?
Любитель
Я правильно понял, что реестр просмотрен, утилиты AVZ & CUReIT использованы, но ничего не найдено?
Winlogon должен быть не более 500 кб для ХР , или 279 кб для 7-ки
Так там же абра-кадабра какая-то.
Проблема была в том что утилита запущенная с флешечного livecd висла.
К счастью, комп запустился в безопасной моде с командной строкой. Только мне это сразу не помогло,
Предварительный рецепт - при флешечной загрузке скопировали утилиту на жесткий диск, а потом добрый человек из командной строки ее запустил. Сейчас она молотит. Среди заблокированных ею файлов 7zip который скачал недели три назад. Похоже с ним и подцепил, правда тогда почему-то долго ждал этот червь. Инкубационый период что-ли.
Посмотрим завтра
Любитель
Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.Так там же абра-кадабра какая-то.
Проблема была в том что утилита запущенная с флешечного livecd висла.
К счастью, комп запустился в безопасной моде с командной строкой. Только мне это сразу не помогло,
Предварительный рецепт - при флешечной загрузке скопировали утилиту на жесткий диск, а потом добрый человек из командной строки ее запустил. Сейчас она молотит. Среди заблокированных ею файлов 7zip который скачал недели три назад. Похоже с ним и подцепил, правда тогда почему-то долго ждал этот червь. Инкубационый период что-ли.
Посмотрим завтра
Та так в итоге и поступили.
В winlogon была какая-то бяка mssoft.exe, хотя в указанном пути такого файла не было, но после отключения заработало. правда там по пути еще несколько шаманств осуществили.
в общем, вроде работает
---------- Добавлено в 07:20 ---------- Предыдущее сообщение было написано в 07:11 ----------
пробовал не сработало, то есть какие-то вирусы "обкурившимся" найдены были и удалены, и даже названия их файлов содержали SMS*, но после перезагрузки порно осталось.лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня
, поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .
А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.
после удаления MSSOFT.exe в WINLOGON
при перезагрузке ругнулась на отсутствие какого-то приложения, но вроде работает.
К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?
Любитель
Ок, распишем по-порядку.
Этот баннер - программа. Так?
Так.
Она у нас появляется на старте.
Значит, грузится вместе с системой.
Значит, надо её найти - где она прописана на загрузку, и отчикать эту команду на загрузку, а сам файл программы мы найдём как только найдём запрос на его загрузку - в нём будет указано его имя? хотя можно и не искать - он же уже не будет грузиться, верно?
Итак.
Всё дальнейшее относится к Windows XP всех модификаций и Windows 2000.
Windows7 и Windows Vista имеют немножко другую организацию автозагрузки, их мы коснёмся позднее, если кому понадобится.
Ну, оставим в покое тот сложный и долгий способ, который я описывал ранее:
... это для гурманов.
Это когда совсем аллес, и ничего сделать не получается совсем.
Но есть и более простые пути.
Мест, откуда эта гадость грузится, не так и много. Я их щас перечислю.
Вся проблема не в том, чтобы найти, откуда оно грузится, а в том, чтобы добраться до этого места, откуда оно грузится, потому что у нас в лучшем случае, пол-экрана закрыто членами и попами.
1. Гадость может грузиться тупо ярлыком из меню Пуск->Все программы->Автозагрузка. Проверяется просто, удаляется легко. Понятно, что если там есть что-то, чего мы никогда не видели - не грех оттуда и убрать. И перезагрузиться не забыть.
Не забываем, что есть такое понятие - "подмена ярлыка", когда, допустим, в Автозагрузке висит себе мирно "Быстрый запуск Microsoft Office" (этот ярлык устанавливается туда по умолчанию при установке Офиса), только вот вовсе не обязательно этот ярлык ссылается именно на "Быстрый запуск Microsoft Office" - вместо него может быть запущена любая другая программа, тем более что на функциональности Office это не скажется.
Имеем ввиду.
2. Гадость может грузиться из RUN-разделов реестра.
Эти разделы в реестре находятся по адресам:
Общий автозапуск:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе в систему каждый раз и в любом случае.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx - программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра.
Автозапуск конкретного юзера:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run - программы, которые запускаются при входе текущего пользователя в систему.
Ну, и по аналогии,
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Есть ещё местечки:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices - программы, которые загружаются при старте системы ДО входа пользователей в Windows.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce - программы отсюда загружаются только один раз, когда загружается система, но ДО оболочки winlogon. Зато - для всех юзеров.
То есть, чтобы автоматом запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (Пуск->выполнить, regedit), переходим в раздел
HKCU/Software/Microsoft/Windows/CurrentVersion/Run и добавляем следующий ключ: NOTEPAD.EXE со значением "C:\WINDOWS\System32\notepad.exe" - и будем наблюдать его каждую загрузку.
Отсюда и проистекает наш Универсальный способ 2.
0. Если баннер не закрывает кнопку "Пуск", идём в "Пуск"->"Выполнить".
1. В появившейся строке вбиваем: msconfig, жмём Enter.
2. Появится окошко "настройка системы". Если оно перекрыто баннером, его надо вытащить из-под баннера так, чтобы было видно хотя бы его часть.
3. Переключаемся на вкладку "Автозагрузка".
4. Там много чего будет, но нас интересует длинная кнопка "отключить всё" под списочком. если удалось её нажать - пол-дела сделано. Нажимаем её, потом нажимаем "Ок", и перезагружаемся.
5. Если гадость стартует из RUN-разделов реестра, она не запустится.
6. После перезагрузки системы высветится окошко-запрос о том, что параметры загрузки системы были изменены, и что, мол, ай-яй-яй.
там есть галка "больше не показывать это сообщение".
7. Остаётся запустить msconfig ещё раз и выяснить во вкладке "Автозагрузка", что из того, что там перечислено, нам известно и нужно, а что можно и не включать обратно, расставляя там галки.
==========================================================
Универсальный способ 3.
Если гадость стартует вместе с шеллом, то msconfig не поможет.
Для этого нужно:
0. Открыть "Пуск"->"Выполнить", запустить оттуда regedit
1. Пойти в
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon
Там есть два параметра:
Shell, он должен быть равен "Explorer.exe", и никак иначе, и
Userinit, который должен быть равен "C:\WINDOWS\system32\userinit.exe," - именно так, с запятой!
Наша задача - проследить чтобы эти две переменные имели именно такие значения.
2. Заодно навестим
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows
В правой части окна НЕ ДОЛЖНО БЫТЬ строчек типа
"load"
"run"
Вернее, load там будет всегда, но значение его ДОЛЖНО БЫТЬ пустым.
если есть - удаляем.
Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.
Например, чтобы запустить Internet Explorer ДО входа пользователя в систему и Блокнот ПОСЛЕ входа пользователя в систему, достаточно прописать в
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
параметр load со значением "iexplore.exe"
и
параметр run со значением "notepad.exe"
3. Навестим вышеперечисленные разделы, убедимся, что там чисто.
4. Кроме того, гадость может запускаться с помощью "Мастера планирования заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные - Назначенные задания".
...либо просто открыть папку C:\ WINDOWS\Tasks, в которой можно бессовестно всё грохнуть.
Нда. Забираюсь-таки в дебри потихоньку.
Хватит на сегодня.
Так что про то, как склеиваются исполняемые файлы, я сегодня рассказывать не буду.
Потому что запросто можно запустить свой модуль одновременно со, скажем, Adobe Speed launcher, который ставится автоматически вместе с Adobe Acrobat...
Русские варвары врывались в кишлаки, аулы, стойбища, оставляя после себя города, библиотеки, университеты и театры.
Правила - тут.
В безопасном режиме банер есть? Сколько еще административных УЗ есть на компутере? Надо лечить бяку из-под другой УЗ в безпасном режиме или, как уже указали, через LiveCD.
Вера наших соотечественников в то, что Россия - одна из худших стран мира по своей абсурдности уступает только их же вере в абсолютную личную непричастность к сему положению.
скачать LiveCD Доктора Веба или Касперского, загрузиться с него и пролечить - сталкивался трижды с бякой, все три раза помогло только это
В безопасном отключить автозагрузку всего, и восстановить до предыдущего состояния системы.
Я, как и истина, обычно где-то рядом.
Не поможет, в безопасном таже бяка. Только лайв спасет, или подбор кода на сайтах...
Я в таких ситуациях на сайте ДР Веба смотрел... Но, похоже, не подходят, если правильно понял первый пост.
Трехмерка по одному проекту: www.youtube.com/watch?v=Xub-3TA7MIE&feature=plcp
Ещё универсальный способ: запускаете сборку работающую с СД-диска, типа XPE, спасаете документы, качаете Kaspersky Virus Removal Tool , Dr.Web CureIt! , пытаетесь лечить.
В своё время выкрутился подбором, второй комп был рядом. Но весь вечер промучался.
После этого поставил SpyBot и пока без проблем. Где эту мороку подцепил не понял - по злачным местам не шарился.
"If the forces of big business are to plunge this country into a saturnalia of extravagance for war purposes in a time of peace it is my notion that the forces of big business should put up the money." - Representative Warren Worth Bailey, Feb 1, 1916
Если гадость стартует, подгружаясь из раздела winlogon - никакие безопасные режимы не помогают.
Русские варвары врывались в кишлаки, аулы, стойбища, оставляя после себя города, библиотеки, университеты и театры.
Правила - тут.
дык под пользователем сидеть надо, но эту истину, думаю, никогда народу донести не удастся :-(Если гадость стартует, подгружаясь из раздела winlogon - никакие безопасные режимы не помогают.
Внимание! В вышеприведенном сообщении могут содержаться такие элементы сатиры как: аллегория, гипербола, гротеск, ирония, сарказм, а также юмор.
ॐ मणि पद्मे हूँ
Ваши права
Ответить с цитированием
