ПОМОГИТЕ.
Adrian Wolf
Мастер
8/13/2009, 12:39:53 PM
Добрый день. Такая проблема. При включении компа, как только загрузилась винда, сразу появляется синее окно, содержащее порно рекламу и требование оплатить заказ. Отправте смс и введите код, тогда все разблокируется.
Я не могу попасть ни в диспетчер устройств, ни в меню пуск. Окно все блокирует. Пробовал в безопасном режиме войти, тоже самое. Теперь не знаю как на комп попасть чтобы удалить этот вирус....
Получить код этого сета
Я не могу попасть ни в диспетчер устройств, ни в меню пуск. Окно все блокирует. Пробовал в безопасном режиме войти, тоже самое. Теперь не знаю как на комп попасть чтобы удалить этот вирус....
Получить код этого сета
nona
Мастер
8/13/2009, 1:37:16 PM
сейчас спрошу у нас у кого то был уже
То что нашла в инете:
вроде подходит код 3893879
DrWeb сделал генератор кодов
https://news.drweb.com/show/?i=304&c=5
вводите цифры с сообщения ВАШЕГО компьютера - получаете код
ще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его
прога AVZ.(https://z-oleg.com/secur/advice/adv1103.php)
скачиваем ее - и решаем проблему пустого стола!
ПЛЮС - там а куча настроек по проверки компа, . С ее помошью нашел вирусы, которые и вызывали смс_провокацию и исчезновение иконок с рабочего стола !!
в Shell'е прописан его путь, после explorer.exe, по нему видно, что он поместил себя в C:\WINDOWS.
Потом поиском нашел его и в C:\WINDOWS\Prefetch, там же были парочка "левых" pf-файлов
То что нашла в инете:
вроде подходит код 3893879
DrWeb сделал генератор кодов
https://news.drweb.com/show/?i=304&c=5
вводите цифры с сообщения ВАШЕГО компьютера - получаете код
ще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его
прога AVZ.(https://z-oleg.com/secur/advice/adv1103.php)
скачиваем ее - и решаем проблему пустого стола!
ПЛЮС - там а куча настроек по проверки компа, . С ее помошью нашел вирусы, которые и вызывали смс_провокацию и исчезновение иконок с рабочего стола !!
в Shell'е прописан его путь, после explorer.exe, по нему видно, что он поместил себя в C:\WINDOWS.
Потом поиском нашел его и в C:\WINDOWS\Prefetch, там же были парочка "левых" pf-файлов
Adrian Wolf
Мастер
8/13/2009, 1:37:27 PM
Безопасный режим с командной строкой запустился.
Adrian Wolf
Мастер
8/13/2009, 1:38:15 PM
(nona @ 13.08.2009 - время: 09:37) сейчас спрошу у нас у кого то был уже
Надеюсь на помощь!)
Надеюсь на помощь!)
nona
Мастер
8/13/2009, 1:48:45 PM
на работе говорят что процесс называется вроде bloker.exe
надо подложить в запуск батник (с другого компа например) который будет тупо убивать этот процесс. после загрузки чистите антивирусом (проблема очень частая в сети много описаний многие антивирусные компании сделали отдельные проверки для очистки этх вирусов)
надо подложить в запуск батник (с другого компа например) который будет тупо убивать этот процесс. после загрузки чистите антивирусом (проблема очень частая в сети много описаний многие антивирусные компании сделали отдельные проверки для очистки этх вирусов)
Adrian Wolf
Мастер
8/13/2009, 1:51:58 PM
спасибо за инфу!
попробую....
попробую....
Adrian Wolf
Мастер
8/13/2009, 2:07:14 PM
а если например грузануться с диска (matrix boot cd)?
Adrian Wolf
Мастер
8/13/2009, 5:52:05 PM
(JeyLo @ 13.08.2009 - время: 11:48) https://sxn.io/index.php?showtopic=253921
на предмет наличия Conficker конечно проверю! Спасибо!)
на предмет наличия Conficker конечно проверю! Спасибо!)
DELETED
Акула пера
8/13/2009, 7:41:56 PM
Я про способы лечения. Одна фигня.
barrakuda
Профессионал
8/14/2009, 1:02:08 AM
Во время загрузки компа, жмем F8, в появившемся списке загрузки выбираем вариант "Безопасный режим с поддержкой командной строки".
Когда система загрузится, в командной строке вводим regedit.
Появится окошко редактора реестра. Далее в этом окне, слева, открываем раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Справа смотрим параметры Shell и Userinit.
У параметра Shell значение должно быть - explorer.exe
У параметра Userinit значение должно быть - C:\WINDOWS\system32\userinit.exe,
Если там что-то другое, то измените их на правильные(двойной щелчок на параметре откроет окошко, в котором можно менять его значение)
Скорее всего вирус прописал себя в качестве оболочки(shell) и таким образом при входе пользователя в систему вместо Проводника запускается вирус.
Когда система загрузится, в командной строке вводим regedit.
Появится окошко редактора реестра. Далее в этом окне, слева, открываем раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Справа смотрим параметры Shell и Userinit.
У параметра Shell значение должно быть - explorer.exe
У параметра Userinit значение должно быть - C:\WINDOWS\system32\userinit.exe,
Если там что-то другое, то измените их на правильные(двойной щелчок на параметре откроет окошко, в котором можно менять его значение)
Скорее всего вирус прописал себя в качестве оболочки(shell) и таким образом при входе пользователя в систему вместо Проводника запускается вирус.
nona
Мастер
8/14/2009, 3:14:44 PM
(JeyLo @ 13.08.2009 - время: 15:41) Я про способы лечения. Одна фигня.
зря ты так, те что нарыла в инете - не знаю ручаться не могу
последний который на работе рассказали он 100% работает (в нем пропущено про то как посмотреть имя процесса и как создать батник), но он и не подходит простым юзверям, а те кто в состоянии это сделать могут и без подсказки батник создать и посмотреть название процесса в Shell
зря ты так, те что нарыла в инете - не знаю ручаться не могу
последний который на работе рассказали он 100% работает (в нем пропущено про то как посмотреть имя процесса и как создать батник), но он и не подходит простым юзверям, а те кто в состоянии это сделать могут и без подсказки батник создать и посмотреть название процесса в Shell
barrakuda
Профессионал
8/14/2009, 11:37:49 PM
(nona @ 14.08.2009 - время: 11:14) но он и не подходит простым юзверям, а те кто в состоянии это сделать могут и без подсказки батник создать и посмотреть название процесса в Shell
Простые юзверя не должны сидеть за компом с правами администратора системы, тогда вирус просто не смог бы прописать себя вместо проводника. Так как прав на изменения параметров ключа winlogon, в том числе и shell, обычный пользователь (а следовательно и все приложения которые он запускает) не имеет.
И еще совет автору темы: пользуйтесь антивирусом.
Простые юзверя не должны сидеть за компом с правами администратора системы, тогда вирус просто не смог бы прописать себя вместо проводника. Так как прав на изменения параметров ключа winlogon, в том числе и shell, обычный пользователь (а следовательно и все приложения которые он запускает) не имеет.
И еще совет автору темы: пользуйтесь антивирусом.