Кошка
PolitiKitty
- Регистрация
- 15 Сен 2010
- Сообщения
- 5,759
- Благодарности
- 3,444
- Автомобиль
- VW Tiguan 2011 S&S рестайл 2.0 TSI (170л.с.)
Lurcher, Спасибо!!)
Помогите плиз срочно с компом!!(((
- Автор темы Кошка
- Дата начала
AndreyKo
Участник
Кошка, попробуй http://www.malwarebytes.org/ (бесплатную), от неизвестных троянцев помогает.
Кошка
PolitiKitty
- Регистрация
- 15 Сен 2010
- Сообщения
- 5,759
- Благодарности
- 3,444
- Автомобиль
- VW Tiguan 2011 S&S рестайл 2.0 TSI (170л.с.)
Ребят,смотрите че получилось- запустили Веба,он нашел кучу фигни-удалили, обнаруживает трояна,а кнопка удаления к нему недоступна!(( Веб,который от этих тронов типа,на флешку который записали, не запускается...
Geka20
Завсегдатай
- Регистрация
- 27 Ноя 2009
- Сообщения
- 546
- Благодарности
- 41
- Адрес
- Мурманская обл.Видяево.
- Автомобиль
- Тиг.Дооборудовал:Круиз,мультируль,кожаный салон, RNS 510 + камера + Bluetooth, Webasto Thermo Evo4
Кошка, Я бы систему переустановил и делов то,часик и всё ок.
Добавлено через 1 минуту
Кошка, Жаль я в Питере,с радостью помог бы!!!
Добавлено через 1 минуту
Кошка, Жаль я в Питере,с радостью помог бы!!!
Последнее редактирование:
Lurcher
Участник
в безопасном работаете?
http://www.kaspersky.ru/security-scan
попробуйте это, если найдет откуда корни растут сами удалите
http://www.kaspersky.ru/antivirus-removal-tool - или это
з.ы. пишу по памяти как боролся с прошлой гадостью (СНАЧАЛА ПРОЧИТАТЬ!)
в реестре(если доступен) посмотрите Hkey_local_machine-> software-> microsoft-> windowsNT->currentversion->winlogon (выделить папку winlogon). справа на параметре "shell" должно быть "explorer.exe", "userinit" - "C:\Windows\system32\userinit.exe",
Hkey_current_user -> software-> microsoft -> windows NT->currentversion-> winlogon тут не должно быть параметра shell и userinit
если обнаружите что один из параметров изменен (имеет другое имя или содержит дополнительные файлы) найдите их по указанному пути и отправьте на Онлайн проверку ( http://vms.drweb.com/online ). дальше лучше отпишите сюда, чтобы плохого ничего не сделать
если будете отправлять файл с другого компьютера, флешку открывать только через тотал командр/фар/нортон! и нивкоем случае не запускайте его оттуда
Кошка
PolitiKitty
- Регистрация
- 15 Сен 2010
- Сообщения
- 5,759
- Благодарности
- 3,444
- Автомобиль
- VW Tiguan 2011 S&S рестайл 2.0 TSI (170л.с.)
Спасибо большое! Будем завтра пробовать!
VaDim_L
Заинтересовавшийся
Самый надежный вариант скачать и зписать на флешку / диск вот это:
http://rutracker.org/forum/viewtopic.php?t=2833878
И прогнать спец утилиту из первой сборки WinPE:
1) Загрузка с флешки
2) Выбор SV Micro PE
3) Пуск-програииы-антивирусные утилиты-AntiWinLocker
http://rutracker.org/forum/viewtopic.php?t=2833878
И прогнать спец утилиту из первой сборки WinPE:
1) Загрузка с флешки
2) Выбор SV Micro PE
3) Пуск-програииы-антивирусные утилиты-AntiWinLocker
Последнее редактирование:
trank
Участник
Напишете телефон и номер, который нужно отправить на этот телефон и будет Вам код разблокировки.
На будущее: после лечения, поставьте альтернативный диспетчер задач (например, http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx). Подобные блокираторы часто блокирует стандартные способы отключения процессора, а любой альтернативный способ не замечают
На будущее: после лечения, поставьте альтернативный диспетчер задач (например, http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx). Подобные блокираторы часто блокирует стандартные способы отключения процессора, а любой альтернативный способ не замечают
Последнее редактирование:
Кошка
PolitiKitty
- Регистрация
- 15 Сен 2010
- Сообщения
- 5,759
- Благодарности
- 3,444
- Автомобиль
- VW Tiguan 2011 S&S рестайл 2.0 TSI (170л.с.)
Не поняла-что,куда и кому нужно написать?))
ansel
Новичок
Может уже не надо, но я постараюсь более менее разъяснить в чем суть (так как не раз лечил свой ПК и людям от этой разнообразной заразы).
Когда выбрасывается баннер с запросами на пополнение счета мобильника или электронного кошелька - это тот самый элементарный блокиратор рабочего стола, то есть программка, а может быть даже не исполняемый файл (.ехе), а просто флэш, как у меня был пример у человека в последний раз когда лечил. Элементарный flash-файл который блокирует "Рабочий стол" то бишь файл explorer.exe.
Когда я чищу от этой заразы я всегда обращаюсь на один сайт с инструкцией (кстати таких повторов на разных сайтах много, но суть та же). И тут дело не в простом лечении DrWeb CureIt или аналог этого же только у Каспера, они могут и не найти тот же флеш так как он сам по себе угрозы не составляет никакой. И дело не в диспетчере задач, просто нужен некоторый алгоритм действий, который меня всегда выручал.
Цитата с сайта:
"После перезагрузки рабочего стола нет, вместо него картинка и поле для ввода кода. Соответственно, что? Правильно, заменена оболочка, роль которой исполняет файл explorer.exe — он же рабочий стол, он же проводник. Заменить оболочку можно только внеся изменения в реестр Винды, но запустить regedit(реестр) вы не сможете: ни пуск-выполнить, ни cmd, ни три пальца не работают. Но ведь есть же поддержка командной строки! Да, при перезагрузке жмите кнопку F8 (это одна кнопка, а не эф и восьмерка) пока не появятся варианты загрузки. Выберите «безопасный режим с поддержкой командной строки» — вместо оболочки грузится командная строка, в которой весьма несложно написать regedit, а дальше дело техники, идите по цепочке: HKLM(абревиатура 4-х слов)-software-Microsoft-WinNT-current version-Winlogon — ищите пункт «Shell» и дважды щелкните левой кнопкой мыши по нем. Там будет написан путь к заразе(например: d:\movies\assist\xxxvideo.avi.exe) — запомните его, а лучше — запишите. Удалите всю надпись, напишите explorer.exe и нажмите OK. Полдела сделали, теперь закройте редактор реестра и в командной строке введите explorer.exe — вас предупредят о безопасном режиме и запустится рабочий стол. Помните, вы записали путь к заразе — пройдите по нему и удалите зловредную бациллу с компьютера."
После этого я удаляю физически заразу и прохожу ПК CureIT-ом и Касперским, больше ничего выдумывать и не надо.
На счет того что ДокторВэб находит троян допустим или какой другой вирус в файле который физически Доктор отказывается удалять (блокируется кнопка) значит этот файл системный, скорее всего из папки C:/Windows и антивирь не имеет права его править (что либо с ним делать). В таком случае лучше найти систему с такой же версией Windows 7 и элементарно попробовать его заменить на своем ПК.
Будут вопросы - обращайтесь.
Когда выбрасывается баннер с запросами на пополнение счета мобильника или электронного кошелька - это тот самый элементарный блокиратор рабочего стола, то есть программка, а может быть даже не исполняемый файл (.ехе), а просто флэш, как у меня был пример у человека в последний раз когда лечил. Элементарный flash-файл который блокирует "Рабочий стол" то бишь файл explorer.exe.
Когда я чищу от этой заразы я всегда обращаюсь на один сайт с инструкцией (кстати таких повторов на разных сайтах много, но суть та же). И тут дело не в простом лечении DrWeb CureIt или аналог этого же только у Каспера, они могут и не найти тот же флеш так как он сам по себе угрозы не составляет никакой. И дело не в диспетчере задач, просто нужен некоторый алгоритм действий, который меня всегда выручал.
Цитата с сайта:
"После перезагрузки рабочего стола нет, вместо него картинка и поле для ввода кода. Соответственно, что? Правильно, заменена оболочка, роль которой исполняет файл explorer.exe — он же рабочий стол, он же проводник. Заменить оболочку можно только внеся изменения в реестр Винды, но запустить regedit(реестр) вы не сможете: ни пуск-выполнить, ни cmd, ни три пальца не работают. Но ведь есть же поддержка командной строки! Да, при перезагрузке жмите кнопку F8 (это одна кнопка, а не эф и восьмерка) пока не появятся варианты загрузки. Выберите «безопасный режим с поддержкой командной строки» — вместо оболочки грузится командная строка, в которой весьма несложно написать regedit, а дальше дело техники, идите по цепочке: HKLM(абревиатура 4-х слов)-software-Microsoft-WinNT-current version-Winlogon — ищите пункт «Shell» и дважды щелкните левой кнопкой мыши по нем. Там будет написан путь к заразе(например: d:\movies\assist\xxxvideo.avi.exe) — запомните его, а лучше — запишите. Удалите всю надпись, напишите explorer.exe и нажмите OK. Полдела сделали, теперь закройте редактор реестра и в командной строке введите explorer.exe — вас предупредят о безопасном режиме и запустится рабочий стол. Помните, вы записали путь к заразе — пройдите по нему и удалите зловредную бациллу с компьютера."
После этого я удаляю физически заразу и прохожу ПК CureIT-ом и Касперским, больше ничего выдумывать и не надо.
На счет того что ДокторВэб находит троян допустим или какой другой вирус в файле который физически Доктор отказывается удалять (блокируется кнопка) значит этот файл системный, скорее всего из папки C:/Windows и антивирь не имеет права его править (что либо с ним делать). В таком случае лучше найти систему с такой же версией Windows 7 и элементарно попробовать его заменить на своем ПК.
Будут вопросы - обращайтесь.
Lurcher
Участник
ansel
Новичок
Sorry за повтор :bk:
imagik
Постоялец
это хорошо, когда пускают туда. У меня, например, на днях комп даже не вошел в этот режим, просто перезагружался. И как тогда?
KonstantinD
Участник
уважаемый ansel забыл, что корпорация зла не стоит на месте, и метод, описанный им, это частный случай. сейчас стало встречаться уже и хуже-зловреднее.
LiveCD, время, терпение и аккуратность, тогда, возможно, удастся победить.
Кошка
PolitiKitty
- Регистрация
- 15 Сен 2010
- Сообщения
- 5,759
- Благодарности
- 3,444
- Автомобиль
- VW Tiguan 2011 S&S рестайл 2.0 TSI (170л.с.)
Ребят, спасибо что продолжаете помогать! Мой комп еще не излечили...
итак-я смогла загрузить безопасный режим с поддержкой командной строки! Но не поняла куда и как вписывать...
итак-я смогла загрузить безопасный режим с поддержкой командной строки! Но не поняла куда и как вписывать...
Lurcher
Участник
Win+R -> regedit
Кошка
PolitiKitty
- Регистрация
- 15 Сен 2010
- Сообщения
- 5,759
- Благодарности
- 3,444
- Автомобиль
- VW Tiguan 2011 S&S рестайл 2.0 TSI (170л.с.)
так... я прошла этот "увлекательный квест", но в shell уже было вписано explorer.exe! что делать?
Кошка
PolitiKitty
- Регистрация
- 15 Сен 2010
- Сообщения
- 5,759
- Благодарности
- 3,444
- Автомобиль
- VW Tiguan 2011 S&S рестайл 2.0 TSI (170л.с.)
раньше появлялось в безопасном режиме с загрузкой сетевых драйверов, сейчас нет окошка ни в одном из трех режимов..
только при обычной загрузке(
сейчас попробую ваш вариант!
Lurcher
Участник
кстати! ВЫ можете сделать фотографию монитора и выложить сюда???
запустите msconfig и откройте вкладку автозагрузка