Собственно сабж. Сотрудник подцепил вирус-локер. гугл и.т.д выдали многое, одно ясно, что он нового формата. Так как просят пополнить счёт абонента, а не отправлять смс на номера. Ключи которых тьма в инете, не подходят. В безопасном режиме та же ситуация, дурацкий баннер. Само собой, система на кнопки не реагирует. Остаётся только делать восстановление системы. Для этого я решил использовать erd commander 2005. Нашёл прогу peinst которая якобы записывает на usb флэху. Вся процедура сделана, но при загрузке с флэшки, упорно грузится винда, а не erd.

 

Как записать этот командер на флеху, чтобы работала.

 

Или кто-нибудь знает иной способ убрать баннер...

Ситуация такая. Запустил я винду, используя Live CD. Баннер убрал из автозапуска через msconfig.

в общем файл вида xxx_video3245.avi.exe находится с:\documents and settings\user\загрузки\

но там этого файла я не обнаружил (опция смотрения скрытых файлов стоит).

в реестре он прописан в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

хотя и там я не смог найти его.

Где копать? Антива ругнулась на 3 файла. 2 это win32trojan и один win32trojan spyware (что такое). И вот последний как раз находился в файле shell.***(формат не помню). Прогнал через новый нод, якобы всё чисто. Но меня терзают сомнения.

в реестре он прописан в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

хотя и там я не смог найти его.

Ну в реестре файла и не найдете. Итог-то Ваших действий какой? Заразу победили?

я хотел реестр избавить от него, так как обычно они прописываются в shell и userinit(вроде).

Ну баннер не выдаёт, но систему закосячил прилично, повредив при этом касперыча. Так что надо смотреть пару тройку дней, полезет опять, значит будем бороцо дальше

Похожая проблемка случилась. Подцепил вирус-вымогатель, но какой-то хитрый.

После скачивания на комп этой заразы нод32 пискнул что нашёл вирус. Ткнул заблокировать, но винда выдала ошибку, и сказала что перезапустится.

После перезапуска, когда ввожу пароль на учётной записи, грузится рабочий стол, а через секунду белый экран на весь рабочий стол (в том числе и на нижнюю панель задач), просьба пополнить счёт и окошко с вводом кода. ctrl+alt+del не помогают. Мышь не двигается. Вызвал залипание клавиш шифтом, но там выбрать ничего не могу (ни tab, ни enter, ни мышь не работают).

Плюнул, вставил диск с виндой, решил откатить систему, ну или хотябы переустановить. Фиг то там. Когда появляется меню загрузочного диска, клавиатура и там не работает. Автоматически через 10 сек винда запускается с диска С и всё по новой. По нормальному работает только биос.

Подскажите что делать. Описание как бороться на просторах инета не нашёл.

делай как я.

скачай на флешку live cd или erd commander

забутись с неё. дальше уже покапаешься в реестре, найдёшь его там и из автозагрузки убери. Скорее всего, там же сразу прогони через антиву нормальную. и будет счастье.

Не знаю правда или нет, проверить не могу по причине отсутствия заразы. Но мб кому пригодится в форс-мажорной ситуации.

Что видим? Нечто скверное: окошко с предложением отправить SMS на некий номер для разблокировки винды. Перезагрузка даже в безопасном режиме заканчивается этим же окошком. Ctrl + Alt + Del, Alt + Tab и прочие шоткаты, которые должны свернуть/закрыть/переключить на другую программу — естественно, блокируются.

 

Я совсем было отчаялся, но вспомнил про надоедливую хреновину, которая раздражала меня, когда я играл в Counter Strike. По умолчанию менеджер спецвозможностей настроен так, что если зажать Shift на 8 секунд, появится окошко для включения полного набора этих самых спецвозможностей. Зажимаем. Ждем. Есть!

 

1. Рядом с «крестиком» в заголовке окна есть кнопка со знаком вопроса. Жмем, включается контекстная помощь, кликаем еще раз на одну из кнопок окна настроек и видим тултип с подсказкой.

 

2. Правый клик на тултипе неожиданно даёт контекстное меню! Копировать не нужно, но если нажать «печать раздела»...

 

3. ...то откроется «настройка печати»! Жмем на кнопку «настройки» и получаем «настройки принтера» с кучей вкладок.

 

4. Снова справка! Стандартные виндовые виджеты: Файл, Правка и так далее.

 

5. Далее Файл, Открыть и вот он — какой-никакой, но Проводник!

 

Стандартным Проводником я без проблем нашел браузер, нагуглил решение проблемы (найти и удалить blocker.exe и blocker.bin), удалил что положено тем же проводником, перезагрузился — и нормально зашел в винду.

 

Отсюда

грузитесь в сэйфмоде если возможно, если нет то с диска либо виндового, тогда восстановления выходите в консоль восстановления и сносите ручками все пакости, либо с лайф сиди грузитеесь и тоже чистите.

ну или можно например взять в инете, или сразу отсюда коды разблокировки от винлокеров. Я по крайней мере на пяти машинках пробовал подходит, хотя сейчас какие то новые добавились, которых в списке еще нет

NHT-Live cd И не в чем себе не отказывай. Грузишься с него. Запускаешь редактор реестра (не помню как там прога называется). Она сама импортирует файлы реестра с твоей ХР и удаляешь из автозагрузки. Также выкашиваешь вирь из папки винды (или где он там поселился). Конкретно с этими симптомами был излечен чужой ноут.

 

Если не найдешь образ диска пиши в личку.

Ну давайте тоже что-ли свои пять копеек вставлю. Дали мне играться с подобной штукой. Грузился аккурат после логина (а с пустым паролем на учетке получалось что просто при загрузке).

Черный фон. Красные буквы. Как чинил - долбал винду до появления диалога об ошибке. таким образом эта фигня свернулась. Почистил авторан в msconfig - там паразита не было. Не беда - при каждой загрузке теперь у меня был модальный диалог msconfig с вопросом "все нормально после изменений?", который прикрывал эту похабщину и давал доступ к cmd (косяк вируса. не лочил командную строку) оттуда processviewer. далее долгий путь гугления и поиска по реестру. нашел. ехе-шник usrinit.exe в system32 помимо userinit.exe - чистим реестр, грохаем файл. Сработало)

на сайте др.веба есть скриншоты троянов и коды к ним...

 

мне помогло.

Пару раз удалял такую заразу автономным сканером dr.web-а в сейф-моде на компе-доноре. Оба раза получал обои без значков и без панели задач. Потом спасение доков и полная переустановка. Полдня экстрима.

А на дальнейшее - все доки хранить не на системном диске. После установки всех необходимых программ (тоже желательно не на системный диск) - сделать акронисом образ системного диска. Если потом возникает проблема - просто систему сносим и заново ставим образ. Вуаля. и никаких танцев с бубном...

вот здесь и соседних темах достаточно подробно описаны методы борьбы с вымогателями.

 

Победил не один блокер с помощью этой темы.

 

Утилита AVZ позволяет восстановить закосяченую блокером систему.

 

Успехов всем! :)