FORUM Carcd  

Вернуться   FORUM Carcd > Разговоры о разном > Курилка

Курилка Сюда все остальные темы

Ответ
 
Опции темы
Старый 23.04.2009, 07:30   #1
Местный
 
Регистрация: 16.05.2004
Сообщений: 6,081
Вес репутации: 0


По умолчанию

У друга при загрузке операционной системы выходит сообщение об активации системы в связи с тем что она признана пиратской и просят ввести ключ активации. При этом он не подходит, и предлогают другой способ получить данный ключ, это отослать СМС с определенным текстом на номер, в ответ придет ключ. написано что стоимость смс примерно 10$. При этом заблокированы любые действия, не открывается диспетчер задач. Активно только окно где надо ввести ключ. В безопасном режиме так же происходит блокирование и появляется это окно. Чистка автозаргузки толку не дала. Проверка на вирусы ничего не выявила.ъ









Вот решение этого вопроса:



1-й способ:

Для убийства его вручную достаточно удалить файлик %windows%\system32\drivers\winlogon.exe , загрузившись с любого диска с поддержкой NTFS, загрузиться в нормальном режиме, залогиниться, далее Ctrl+Alt+Del => Диспетчер Задач => Выполнить => Regedit. Удаляем из автозагрузки, в Shell прописываем родной Explorer.exe, выходим, радуемся после перезагрузки.



2-й способ:



При загрузке windows жмем F8 и выбираем "Безопасный режим с поддержкой коммандной строки".

Когда все загрузится жмем "Ctrl + Alt + Del" и выбираем "Файл/Выполнить" набираем "explorer" и жмем "Enter" вылезает окно, которое объясняет зачем вообще нужен такой вид безопасного режима и предлагает перейти в полный, на что вы и соглашаетесь в полноценном безопасном режиме с помощью поиска находите "blocker*", он может лежать где угодно и иметь любое разширение (в моем случае .swf). Удаляете его и перезагружаетесь. Все. Должно сработать.
AMARANTINE вне форума   Ответить с цитированием
Старый 23.04.2009, 07:46   #2
Местный
 
Регистрация: 16.05.2004
Сообщений: 6,081
Вес репутации: 0


По умолчанию

Более цивильно можно удалить так:



Dr.Web LiveCD



Dr.Web LiveCD – это оригинальный программный продукт, основанный на стандартном антивирусном сканере Dr.Web.



Dr.Web LiveCD – диск скорой антивирусной помощи, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.



Как это работает?

Загрузите образ Dr.Web LiveCD.

Запишите сохраненный образ на CD или DVD. Например, если вы используете Nero Burning ROM вам необходимо:

Вставить чистый CD/DVD компакт-диск в пишущий привод

В меню "Файл" выбрать команду "Открыть"

Найти и выбрать сохраненный образ

Нажать кнопку "Прожиг" и дождаться окончания процесса записи

Убедитесь, что проверяемый компьютер загружается в первую очередь с CD-привода, в котором находится диск Dr.Web LiveCD, либо с другого носителя, на котором записан Dr.Web LiveCD. В случае необходимости внесите необходимые настройки в BIOS вашего компьютера

При загрузке Dr.Web LiveCD, на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и безопасным (safe mode) режимом запуска программы.







3. С помощью стрелочек на клавиатуре выберите нужный пункт меню и нажмите [Enter]:

Чтобы запустить версию сканера с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default)

Чтобы запустить сканер с интерфейсом командной строки (консольный сканер), выберите режим DrWeb-LiveCD (Safe Mode)

Выберите Start Local HDD, если вы желаете загрузить компьютер с жесткого диска и не запускать Dr.Web LiveCD

Выберете Testing Memory для запуска утилиты проверки памяти компьютера Memtest86+

В случае выбора режима DrWeb-LiveCD (Default) операционная система автоматически найдет все имеющиеся разделы жесткого диска и настроит подключение к локальной сети, если это возможно.



Скачать Dr.Web LiveCD
AMARANTINE вне форума   Ответить с цитированием
Старый 23.04.2009, 08:38   #3
Пользователь
 
Регистрация: 03.11.2008
Сообщений: 47
Вес репутации: 0


По умолчанию

Спасибо Алексей! Как раз с такой сранью вчера столкнулся на домашнем компе.
attis вне форума   Ответить с цитированием
Старый 23.04.2009, 09:16   #4
Местный
 
Регистрация: 16.05.2004
Сообщений: 6,081
Вес репутации: 0


По умолчанию

Цитата:
'attis' *'421827' *'23.4.2009, 8:38']Спасибо Алексей! Как раз с такой сранью вчера столкнулся на домашнем компе.




Отпиши потом подробно здесь..Справился с этим разводиловым или нет...
AMARANTINE вне форума   Ответить с цитированием
Старый 23.04.2009, 10:47   #5
Местный
 
Регистрация: 23.01.2006
Сообщений: 734
Вес репутации: 0


По умолчанию

после того, как все выкосится, с лайв сд загрузиться и посмотреть параметр

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

и прописать Shell=Explorer.exe



Удалить файлы blocker.exe и blocker.bin из директории

C:\Documents and Settings\All Users\Application Data, а также в

разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon меняем значение параметра "Userinit" с

"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPL

IC~1\\blocker.exe" на "C:\\WINDOWS\\system32\\userinit.exe"



стоит такой же, вчера дружбан приволок под вечер, стоял нортон интернет секурити, нифига не увидел его, сейчас web его проверяет 2-й раз, 1-й раз он большинство выкосил, после него винда тож не подымается, на логоне в перезагрузку уходит буду пробовать с командной или с hirens cd загружусь, буду править реестр, по результатам отпишусь
-Bat- вне форума   Ответить с цитированием
Старый 23.04.2009, 10:57   #6
Пользователь
 
Регистрация: 24.08.2007
Сообщений: 54
Вес репутации: 0
Репутация: 0


По умолчанию

Во народ у нас...

http://advisor.wmtransfer.com/FeedBackList...elp.ru?c1e36b00
medmyre вне форума   Ответить с цитированием
Старый 23.04.2009, 11:00   #7
Новичок
 
Регистрация: 11.04.2006
Сообщений: 24
Вес репутации: 0


По умолчанию

На такую заразу не натыкался тьфу-тьфу, Dr.Veb где-то недели две, по-моему, назад давал информацию по разблокировке: КОД АКТИВАЦИИ 4420864, ещё по информации "Доктора" эта программа живёт где-то часа два времени, а потом самоуничтожается.
SWFOMIN вне форума   Ответить с цитированием
Старый 23.04.2009, 11:05   #8
Новичок
 
Регистрация: 04.12.2008
Сообщений: 2
Вес репутации: 0


По умолчанию

Цитата:
'Казимир Алмазов' *'421812' *'23.4.2009, 7:30']Выполнить => Regedit. Удаляем из автозагрузки, в Shell прописываем родной Explorer.exe, выходим, радуемся после перезагрузки.
Где удалить из автозагрузки и в какой Shell прописывать?

Вообще есть еще способы удаления подобных червей (а их разновидностей уже наплодилось немало):

Например Keygen от Dr.Web ))) http://news.drweb.com/show/?i=304&c=5

Некоторым помогает перевод часов в биосе на 3 часа вперед.



А рецепт в общем случае такой:

Получаем доступ к дискам - либо как уже было сказано через безопасный режим с командной строкой либо

запустив экранную клавиатуру Win+U->справка->о программе в эксплоере получаем доступ к дискам.



1) Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit

Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»

В нашем случае вирь дописал в конце данной строчки свой запуск.



2) Ишем файл, прописанный в данной строчке и прибиваем его



3) Сканируем комп хорошим антивирусом.



4) Радуемся.



В етой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Кроме Userinit еще есть Shell, куда вирусы тоже прописывают себя для автозапуска.

Я всем советую на ветке Winlogon прав кнопкой разрешения добавить юзера «Все», «Everyone» и в параметрах безопасности поставить только отметки запретить удаление и изменение параметров только етой ветки.

После етого вы будете своего рода застрахованы от таких типов вирусов



ЗЫ А вирус вот этот сайт распространяет А БАН ТЕБЯ НЕ ОТПРАВИТЬ ЗА ЭТУ ССЫЛУ !!!!???????? типа дрова вам надо установить)))
Nils0n вне форума   Ответить с цитированием
Старый 23.04.2009, 11:25   #9
Новичок
 
Регистрация: 04.12.2008
Сообщений: 2
Вес репутации: 0


По умолчанию

Так я ж написал где источник заражения находится... Ну да ладно не надо так не надо...
Nils0n вне форума   Ответить с цитированием
Старый 23.04.2009, 11:41   #10
Местный
 
Регистрация: 23.01.2006
Сообщений: 734
Вес репутации: 0


По умолчанию

Цитата:
'Nils0n' *'421859' *'23.4.2009, 11:25']Так я ж написал где источник заражения находится... Ну да ладно не надо так не надо...
Прямые ссылки запрещено давать!! тем более на источники заражения!!! тут же на форуме найдется с десяток юзверей, которые обязательно полезут посмотреть из любопытства
-Bat- вне форума   Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
оплата Willem Programmer (sivava.com) Tjur Курилка 2 25.04.2006 16:05
Вирус Caribe Ярослав Курилка 3 03.02.2005 18:49


Текущее время: 17:29. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot