|
23.04.2009, 07:30
|
#1 |
|
Местный
Регистрация: 16.05.2004
Сообщений: 6,081
Вес репутации: 0
|
У друга при загрузке операционной системы выходит сообщение об активации системы в связи с тем что она признана пиратской и просят ввести ключ активации. При этом он не подходит, и предлогают другой способ получить данный ключ, это отослать СМС с определенным текстом на номер, в ответ придет ключ. написано что стоимость смс примерно 10$. При этом заблокированы любые действия, не открывается диспетчер задач. Активно только окно где надо ввести ключ. В безопасном режиме так же происходит блокирование и появляется это окно. Чистка автозаргузки толку не дала. Проверка на вирусы ничего не выявила.ъ
 Вот решение этого вопроса: 1-й способ: Для убийства его вручную достаточно удалить файлик %windows%\system32\drivers\winlogon.exe , загрузившись с любого диска с поддержкой NTFS, загрузиться в нормальном режиме, залогиниться, далее Ctrl+Alt+Del => Диспетчер Задач => Выполнить => Regedit. Удаляем из автозагрузки, в Shell прописываем родной Explorer.exe, выходим, радуемся после перезагрузки. 2-й способ: При загрузке windows жмем F8 и выбираем "Безопасный режим с поддержкой коммандной строки". Когда все загрузится жмем "Ctrl + Alt + Del" и выбираем "Файл/Выполнить" набираем "explorer" и жмем "Enter" вылезает окно, которое объясняет зачем вообще нужен такой вид безопасного режима и предлагает перейти в полный, на что вы и соглашаетесь в полноценном безопасном режиме с помощью поиска находите "blocker*", он может лежать где угодно и иметь любое разширение (в моем случае .swf). Удаляете его и перезагружаетесь. Все. Должно сработать. |
|
|
|
23.04.2009, 07:46
|
#2 |
|
Местный
Регистрация: 16.05.2004
Сообщений: 6,081
Вес репутации: 0
|
Более цивильно можно удалить так:
Dr.Web LiveCD Dr.Web LiveCD – это оригинальный программный продукт, основанный на стандартном антивирусном сканере Dr.Web. Dr.Web LiveCD – диск скорой антивирусной помощи, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты. Как это работает? Загрузите образ Dr.Web LiveCD. Запишите сохраненный образ на CD или DVD. Например, если вы используете Nero Burning ROM вам необходимо: Вставить чистый CD/DVD компакт-диск в пишущий привод В меню "Файл" выбрать команду "Открыть" Найти и выбрать сохраненный образ Нажать кнопку "Прожиг" и дождаться окончания процесса записи Убедитесь, что проверяемый компьютер загружается в первую очередь с CD-привода, в котором находится диск Dr.Web LiveCD, либо с другого носителя, на котором записан Dr.Web LiveCD. В случае необходимости внесите необходимые настройки в BIOS вашего компьютера При загрузке Dr.Web LiveCD, на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и безопасным (safe mode) режимом запуска программы.  3. С помощью стрелочек на клавиатуре выберите нужный пункт меню и нажмите [Enter]: Чтобы запустить версию сканера с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default) Чтобы запустить сканер с интерфейсом командной строки (консольный сканер), выберите режим DrWeb-LiveCD (Safe Mode) Выберите Start Local HDD, если вы желаете загрузить компьютер с жесткого диска и не запускать Dr.Web LiveCD Выберете Testing Memory для запуска утилиты проверки памяти компьютера Memtest86+ В случае выбора режима DrWeb-LiveCD (Default) операционная система автоматически найдет все имеющиеся разделы жесткого диска и настроит подключение к локальной сети, если это возможно. Скачать Dr.Web LiveCD |
|
|
|
|
23.04.2009, 08:38
|
#3 |
|
Пользователь
Регистрация: 03.11.2008
Сообщений: 47
Вес репутации: 0
|
Спасибо Алексей! Как раз с такой сранью вчера столкнулся на домашнем компе.
|
|
|
|
|
23.04.2009, 09:16
|
#4 | |
|
Местный
Регистрация: 16.05.2004
Сообщений: 6,081
Вес репутации: 0
|
Цитата:
Отпиши потом подробно здесь..Справился с этим разводиловым или нет... |
|
|
|
|
|
23.04.2009, 10:47
|
#5 |
|
Местный
Регистрация: 23.01.2006
Сообщений: 734
Вес репутации: 0
|
после того, как все выкосится, с лайв сд загрузиться и посмотреть параметр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и прописать Shell=Explorer.exe Удалить файлы blocker.exe и blocker.bin из директории C:\Documents and Settings\All Users\Application Data, а также в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значение параметра "Userinit" с "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPL IC~1\\blocker.exe" на "C:\\WINDOWS\\system32\\userinit.exe" стоит такой же, вчера дружбан приволок под вечер, стоял нортон интернет секурити, нифига не увидел его, сейчас web его проверяет 2-й раз, 1-й раз он большинство выкосил, после него винда тож не подымается, на логоне в перезагрузку уходит  буду пробовать с командной или с hirens cd загружусь, буду править реестр, по результатам отпишусь
|
|
|
|
|
23.04.2009, 10:57
|
#6 |
|
Пользователь
Регистрация: 24.08.2007
Сообщений: 54
Вес репутации: 0
Репутация: 0
|
|
|
|
|
|
23.04.2009, 11:00
|
#7 |
|
Новичок
Регистрация: 11.04.2006
Сообщений: 24
Вес репутации: 0
|
На такую заразу не натыкался тьфу-тьфу, Dr.Veb где-то недели две, по-моему, назад давал информацию по разблокировке: КОД АКТИВАЦИИ 4420864, ещё по информации "Доктора" эта программа живёт где-то часа два времени, а потом самоуничтожается.
|
|
|
|
|
23.04.2009, 11:05
|
#8 | |
|
Новичок
Регистрация: 04.12.2008
Сообщений: 2
Вес репутации: 0
|
Цитата:
Вообще есть еще способы удаления подобных червей (а их разновидностей уже наплодилось немало): Например Keygen от Dr.Web ))) http://news.drweb.com/show/?i=304&c=5 Некоторым помогает перевод часов в биосе на 3 часа вперед. А рецепт в общем случае такой: Получаем доступ к дискам - либо как уже было сказано через безопасный режим с командной строкой либо запустив экранную клавиатуру Win+U->справка->о программе в эксплоере получаем доступ к дискам. 1) Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit Там должна быть только запись вида «C:\Windows\system32\userinit.exe,» В нашем случае вирь дописал в конце данной строчки свой запуск. 2) Ишем файл, прописанный в данной строчке и прибиваем его 3) Сканируем комп хорошим антивирусом. 4) Радуемся. В етой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Кроме Userinit еще есть Shell, куда вирусы тоже прописывают себя для автозапуска. Я всем советую на ветке Winlogon прав кнопкой разрешения добавить юзера «Все», «Everyone» и в параметрах безопасности поставить только отметки запретить удаление и изменение параметров только етой ветки. После етого вы будете своего рода застрахованы от таких типов вирусов ЗЫ А вирус вот этот сайт распространяет А БАН ТЕБЯ НЕ ОТПРАВИТЬ ЗА ЭТУ ССЫЛУ !!!!???????? типа дрова вам надо установить))) |
|
|
|
|
|
23.04.2009, 11:25
|
#9 |
|
Новичок
Регистрация: 04.12.2008
Сообщений: 2
Вес репутации: 0
|
Так я ж написал где источник заражения находится... Ну да ладно не надо так не надо...
|
|
|
|
|
23.04.2009, 11:41
|
#10 | |
|
Местный
Регистрация: 23.01.2006
Сообщений: 734
Вес репутации: 0
|
Цитата:
|
|
|
|
|
 |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| оплата Willem Programmer (sivava.com) | Tjur | Курилка | 2 | 25.04.2006 16:05 |
| Вирус Caribe | Ярослав | Курилка | 3 | 03.02.2005 18:49 |
