Перейти к содержанию
Посмотреть в приложении

A better way to browse. Learn more.

Форум Академгородка, Новосибирск

A full-screen app on your home screen with push notifications, badges and more.

Чтобы установить это приложение на iOS и iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
Чтобы установить это приложение на Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Универсальный способ разблокировки WINDOWS от смс-вирусов

Опубликовано

В связи с наработанным опытом разблокировки WINDOWS от загрузочных вирусов, просящих отправить смс на определенный номер, решил поделиться простым, но эффективным алгоритмом разблокировки. Никаких смс, никаких переустановок, никаких точек восстановления. Механизм успешно отработан на 9 зараженных машинах (8 win xp и 1 windows 7).

 

Итак, если у вас появилось окошко в духе вот этого http://content.foto.mail.ru/mail/dusbabaev/_answers/i-5.jpg то поступаем следующим образом.

 

1. Перегружаем компьютер.

2. В процессе загрузки windows жмем F8 и заходим в режим выбора типа запуска и выбираем Безопасный режим с поддержкой коммандной строки

3. Открывается консоль, где мы проделываем следующее. С помощью комманды cd переключаемся в системную папку, а затем в папку с системными утилитами windows. В подавляющем большинстве случаев эта путь будет С:\Windows\System32

4. Запускаем утилиту редактирования реестра regedit.exe (просто вводим название файла и жмем Enter)

5. Находим следующую ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

6. Почти наверняка в нем будет находится параметр SHELL, которого быть не должно вообще в "здоровой машине", с неким значением, которое собой представляет путь до файла вируса. В некоторых модификациях вируса это может быть видоизмененный обязательный параметр USERINIT, но нужно учитывать, что если значение параметра имеет вид С:\%SystemRoot%\Userinit.exe - то так и должно быть.

Это может быть программа .exe или динамическая библиотека .dll. Путь до файла скорее всего будет следующим - C:\%SystemRoot%\Temp.

Удаляем этот параметр из данной ветки и выходим из regedit

7. Запускаем проводник windows explorer.exe (explorer.exe и Enter). Он должен запуститься.

8. Заходим в тут папку, в которой был обнаружен перехватчик загрузки в ветке winlogon и удаляем этот файл.

9. Перегружаем компьютер в нормальном режиме.

10. На всякий случай проверяем компьютер антивирусом. Также рекомендую использовать для проверки на вирусы и разные хакерские утилиты антивирусную утилиту Avz, найти в инете ее несложно просто погуглив.

Все.

  • Ответов 39
  • Просмотры 6,2 тыс
  • Создана
  • Последний ответ

Топ авторов темы

Рекомендуемые сообщения

Опубликовано
Ну так то инфа нужная, но как ее прочитать когда комп залип!? Печатное издание хранить возле компа?
Опубликовано
  • Автор
Ну так то инфа нужная, но как ее прочитать когда комп залип!? Печатное издание хранить возле компа?

Алгоритм в принципе-то несложный, можете попробовать запомнить. :)

Опубликовано
Ну так то инфа нужная, но как ее прочитать когда комп залип!? Печатное издание хранить возле компа?

Алгоритм в принципе-то несложный, можете попробовать запомнить. :)

Не, не получится. У меня память не очень. Но все равно спасибо.

Опубликовано
Очень актуальная информация :rolleyes: Несколько дней назад словил подобное. Платить естессно не стал. Поскольку не обладал такой информацией, пару часов пришлось повозиться
Опубликовано

По поводу ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

НЕ забываем, что паразиты грузятся не только через SHELL, но и USERINIT.

А ещё лучше запустить autoruns on Sysinternals и посмотреть всё, что так или иначе стартует в системе.

Ещё проверьте, что в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

нет левых маршрутов, таким образом паразиты блокируют доступ к антивирусным сайтам. И про %SystemRoot%\System32\Drivers\etc\hosts не забудьте.

А вообще алгоритм предельно очевидный, если понимаете что и зачем загружается, и чего не должно грузиться уж точно.

Опубликовано
  • Автор
По поводу ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

НЕ забываем, что паразиты грузятся не только через SHELL, но и USERINIT.

А ещё лучше запустить autoruns on Sysinternals и посмотреть всё, что так или иначе стартует в системе.

Ещё проверьте, что в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

нет левых маршрутов, таким образом паразиты блокируют доступ к антивирусным сайтам. И про %SystemRoot%\System32\Drivers\etc\hosts не забудьте.

А вообще алгоритм предельно очевидный, если понимаете что и зачем загружается, и чего не должно грузиться уж точно.

Про Userinit спасибо, правы, но мне на практике именно вариант в shell попадался. Включу в алгоритм.

 

  • 4 месяца спустя...
Опубликовано
Нынче упыреныши пошли такие, что подобным способом их не сковырнешь с экрана. В безопасном режиме тот же баннер висит. Помог только LiveCD.
Опубликовано

еще паразиты любят в пользовательские ветки реестра прописываться - HKEY_CURRENT_USER, HKEY_USERS,

еще есть параметр taskman

и вообще вирусописатели не сидят сложа руки, и подкидывают периодически что-нибудь новенькое (из последнего - перезаписывают mbr) так что такие универсальные советы не помогут, если нет понимания, что и зачем делается

Опубликовано
Мой алгоритм: не лазить по порносайтам и сомнительным ссылкам типа: "Сенсация - чупакабра переспала с девушкой, и она родила! Смотрите фото!" Пользуюсь им, и никогда не ловил ничего подобного. Вирусня специфическая, и ловится в большинстве случаев вполне определенно.
Опубликовано
еще паразиты любят в пользовательские ветки реестра прописываться - HKEY_CURRENT_USER, HKEY_USERS,

еще есть параметр taskman

и вообще вирусописатели не сидят сложа руки, и подкидывают периодически что-нибудь новенькое (из последнего - перезаписывают mbr) так что такие универсальные советы не помогут, если нет понимания, что и зачем делается

Вообще-то вирусы уже давным давно использовали mbr для загрузки кода, ничего нового в этом нет. Правда борьба с ними не представляет ничего особого - fixmbr и все дела.

Понимание нужно во всём, что делаешь, иначе лучше даже не начинать :smoke:

Опубликовано

Данный баннер преимущественно обитает на многих порносайтах, а также видео сайтах разного содержания.

Не устанавливайте с левых сайтов ПО (например не обновляйте флеш плеер, директ Х, свой браузер, фаервол и т.д.).

 

Убить проще - безопасный режим, анлокер, поиск по имени процесса (но тут есть загвостка) и кик лишнее)

  • 4 недели спустя...
Опубликовано
Универсальная и всегда актуальная тема для всего вирусняка на всех ОС (на винде которые),тупо переустановка винды без форматирования,время затрат около часа,зато все данные на месте и никакого гемора.
Опубликовано
Универсальная и всегда актуальная тема для всего вирусняка на всех ОС (на винде которые),тупо переустановка винды без форматирования,время затрат около часа,зато все данные на месте и никакого гемора.

Глупость пишите.

Опубликовано
Мой алгоритм: не лазить по порносайтам и сомнительным ссылкам типа: "Сенсация - чупакабра переспала с девушкой, и она родила! Смотрите фото!" Пользуюсь им, и никогда не ловил ничего подобного. Вирусня специфическая, и ловится в большинстве случаев вполне определенно.

И как тогда смотреть фото с чупакаброй? :blink:

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

Аккаунт

Навигация

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.