» Windows заблокирован!

Почти все винлоки свое тело хранят в систем32 и темпе в папке виндоус. Грузимся с лайвсиди. Запускаем тотал командер. Идем в паку систем32 выстравиаем все по размеру : нужно найти скрытые дллки с размером приблизительно 130-150 килобайт. Их там будет много. Они одни скрытые неошибетесь. Трем их. Дллки с таким же размером и тоже скрытые есть в темпе как в папке вигндоус так и в папке документс энд сетингс. Трем их тоже. Перезагружемся. В групповых политиках отключаем блокировку диспетчера задач и реестра. Все работает.
Еще сталкивался с винлоком который лежит в папке автозагрузки . Он непрописан в реестре а просто лежит там. Если загрузится с лайв сили то в папке с автозагрузкой они есть трем их и все работает. Нужно зайти непосредственно документ энд сетингс там главное меню программы автозагрузка

Народ...у друга вылезла гадость с голой байдой после посещения соответствующего сайта перерыл весь инет...нашел ссылку на подбор кодов...и подобрал, как это не странно звучит. Сначала он потребовал после первого правильного подюора доказать что мне 18 а потом сказал...бай бай и альюс амигос...вот теперь вопрос...я его же не убил...а значит чем-то прогонять...хватит ли старого доброго касперыча или нужен сируит (уж очень долго) или вообще что-то третье...в общем чем прогнать после разлочивания? Кстати может и в шапку поместите а то там ссылки тока на бодбор...а что скажем прогнать надо не написано Всем спасибо. С уважением Евгений.

udaffchik
да шняжный вирусяка
через erd comander голову оторвал и отослал на обработку в веб и каспер
спасибо за семпл!

kpuk
А как можно отменить перезагрузку без кнопки Пуск. А то панель Пуск не загружается, не работает. Через кнопку на клавиатуре тоже

dyusha2006
а кнопка на системном блоке?

Всмысле? Мне не перезагрузить нужно, а отменить перезагрузку, после ошибки с обратным отсчётом 1й минуты.

dyusha2006
кнопка "выключение", а не то что вы подумали

Т.е., если нажать на кнопку вкл/выкл, то это сообщение исчезнет и компьютер не станет перезагружаться? Не знал. А нужно один раз нажать или держать сколько-то?

dyusha2006
Win + R
shutdown -a

xeroxman Спасибо. Попробую.

dyusha2006

Цитата:

А нужно один раз нажать или держать сколько-то?

один раз
если держать - это будет равно выключению питания.

и не факт что 100% поможет...

Сегодня не стал даже пояаляться рабочий стол. Появлялся синий экран и курсор. Через минуты 2 комп перезагружался. Запустить какие-либо файлы не получается. Похоже вирус совсем добил винду. Поставил на переустановку, т.к мучиться уже не было смысла.

dyusha2006

Цитата:

А то за минуту боюсь не успею все прогнать.

а почему б с лив-СД от доктора или каспера или (много кто предлагает) не запуститься и не посканить полностью?

Добавлено:
Denizz1973

Цитата:

Они одни скрытые неошибетесь. Трем их. Дллки с таким же размером и тоже скрытые есть в темпе как в папке вигндоус так и в папке документс энд сетингс. Трем их тоже. Перезагружемся.

проверил ради интереса, скрытых длл нету (ось чистая), но как-то не гарантия, что всё, что скрыто - именно вирус. Можно понатереть себе на голову..

rinmoshi

Цитата:

Повторюсь, стоит отключить так же автозапуск с CD-ROM и переносных устройств, а так же автоматическое восстановление системы и снести точки восстановления (если она была включена).

Как отключить автозапуск, автоматическое востановл. системы, и как снести точки востановления?


Цитата:

лучше это делать даже и не в безопасном режиме, а вообще не запуская "окон".

Как это?

scara6ey

Цитата:

Вполне можно установить Ubuntu 9.10.

Ссылочку не подскажите? В гугле искала не нашла, там ссылки не рабочие.
udaffchik

Цитата:

Через автозапуск нашел как он называеться и где расположен:

Как это делается, через автозапуск, и откуда знаете что ищите?

Mashakodinec

Отключение автозапуска для всех типов устройств:
1. Создайте текстовый файлик.
2. Скопируйте туда следующее:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

3. Сохраните файлик. Название не важно. Смените расширение на .reg (вместо .txt).
4. Запустите файл.
5. Для надёжности можно и перезагрузиться. Кстати, визуально ничего не измениться))
Если не получится сделать файл - пишите. Придумаем что-нибудь.

Отключение восстановления системы даже проще.

1. Запустите "Свойства системы". (ПКМ по значку "Мой компьютер" -> "Свойства", либо "Пуск" ->"Панель управления"->"Система"
2. Перейдите на закладку "Восстановление системы"
3. Поставьте флажок "Отключить восстановление системы на всех дисках"
4. Жмите "Применить". На запрос об удалении точек восстановления, отвечайте утвердительно.


Цитата:

лучше это делать даже и не в безопасном режиме, а вообще не запуская "окон".

Так часто поминаемый LiveCD, например)


Цитата:

Вполне можно установить Ubuntu 9.10.

Ссылочку не подскажите? В гугле искала не нашла, там ссылки не рабочие.

Тут посмотрите. http://forum.ru-board.com/topic.cgi?forum=65&topic=3199


Цитата:

Как это делается, через автозапуск, и откуда знаете что ищите?

Проверяется что прописано у системы в автозапуске. Я обычно смотрю в менеджере автозапуска (который msconfig), соответствующих ключах реестра. А ищется то, чего там быть не должно. Подразумевается, что надо знать, что там должно быть. Всё что подозрительно отправляется на проверку.

Перевод Гугля) Как одно из средств оживления инета на ХР.

WinSock XP Fix предлагает крайнего средства, если ваше подключение к Интернету был поврежден из-за недействительных или удалить записи реестра. Он часто может вылечить проблема потеряла связь после удаления компонентов рекламного или ненадлежащее удаление брандмауэров приложений или другие инструменты, которые изменяют сеть XP и Winsock настройки. Если вы столкнулись с проблемами связи после удаления сетевого программного обеспечения, Adware реестра или после очистки, и все другие способы Fail, а затем дать WinSock XP Fix попробовать. Это может создать резервную копию реестра текущие настройки, так что она является достаточно безопасным для использования. Мы протестировали его на тестовой машине, которая возникла проблема Winsock из-за некоторых удаления Adware, и после запуска программы и перезагрузки, была восстановлена связь.
Страница загрузки. Текущая версия 1,2 размер 1,37 мб.

Цитата:

Как отключить автозапуск

в AVZ: Файл\ Мастер поиска и устранения проблем\
Системные проблемы, Все проблемы, Пуск, отмечаем найденые по поводу автозапуска и Исправить отмеченные проблемы.

ynbIpb

Цитата:

так вот именно само тело я и не смог найти.

Более того, скорее всего вирь по-прежнему работает, только на экран ничего не выводит. тогда есть шанс его отловить
Слей Process Explorer от Руссиновича (теперь уже от мелкософта)
http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx


Открываешь, нажимаешь Сtrl+L, сверху выбираешь explorer.exe, в нижней половине смотришь DLL-ки, подгруженные родительским процессом. Видишь там что-либо подозрительное, правой кнопкой мыши по нему, Properties и там полный путь до DLL-ки

Может поможет кому...
Словил пользователь блокировку, по его словам... На компе стоял DrWeb, возможно он частично сломал малварь, ко мне комп попал в "незагружаемом" виде - не появлялся экран приветствия (ОС - XP Home). В безопасном режиме - пустой экран, в обычном режиме аналогично, только мышиный курсор появлялся спустя 5-10 минут. На кнопки не реагировал. Проверка диска прошла нормально. Загрузился с LiveCD, где был набор всяких инструментов. В системном каталоге и каталоге профилей нашел кучку dll файлов со случайными именами, одним размером ~150k, одной датой и временем. Но беда была не в этом. В ключе HKLM\Soft\MS\WindowsNT\Windows\AppInit_Dlls, который обычно пустой, стояла конструкция типа c:\windows\help\rsm.chm:fghfJHGFJhg (набор символов).
Файл этот в каталоге help есть, родной, т.е. дата и время не отличались от соседей, но были изменены атрибуты на скрытый, системный, только для чтения. После очистки ключа система загрузилась нормально. Кроме того, малварь успела политиками заблокировать запуск редактора реестра, диспетчера задач и доктора Веба до кучи...
Так что расслабляться нам не дают... Разновидностей этой хрени много, и последнее время ее запуск пихают во всякие места, куда раньше и не смотрел. Если зараженную систему можно загрузить, рекомендую пользовать утилиты типа autoruns от Русиновича и highjackthis, внимательно просматривая все места загрузки. Были случаи, когда малварь маскировалась полностью под родной файл системы - имя, дата и т.п.

Mashakodinec
Я имел ввиду автозагрузка. Пуск-> Выполнить-> msconfig-> а там уже и автозагрузка.
Цитата:

и откуда знаете что ищите?

Просто посмотрел все приложения которые находяться там, многие я знал, просто такие блокираторы в основном прописываються в Document and Settings.Проссмотрел пути. Увидел пару подозрительных, отключил после перезагрузки баннер появился снова. Опять залез в автозагрузку, и увидел приложение synsql.exe опять помечено галочкой. Тогда через безопастный режим зашел, нашел и для предосторожности не удалил, а переместил его. Ипосле перезагрузки окно баннера не появилось заного. Вот все, а вирус скопировал для опытов.

Цитата:

Ubuntu 9.10.

По поводу прочла, как-то оно мне ненравится. Мне виндовс больше к душе, вернее проще, там так много нужно настраивать, времени на это не хватит, да и что б настроить всё учить, читать нужно, не сильно перемены люблю. Всё равно спасибки!

А какие плюсы и минусы отключения параметра "востановление системы"?

Ребята, файлик для отключения автозагрузки создала, скопировала в него даную пропись, не могу на txt на reg изменить, я незнаю как это зделать. Подскажите.

В любой папке: Сервис\ Свойства папки\ Вид\
Снять птичку: Скpывaть pacшиpeния для зapeгиcтpиpoвaнныx типoв фaйлoв
потом у файло будет видно расширение и просто нажимаем переименовать правой кнопкой мыши.

Ребята, установила программку Process Explorer, открыла, а там розовым фоном белым фоном написаны процессы, в розовом фоне есть пропись на фоне голубой ленты “(название файла) wscntfy.exe – Windows Security Center Notification App ” – Microsoft Corporation. Может кто-то знает, что это такое? У меня окно блокировщик-вирус был с названием Windows Security Alert.

Mashakodinec

Цитата:

не могу на txt на reg изменить

В блокноте:
Файл > Сохранить как > после точки, вместо txt напиши reg

Получилось с файлом, так прикольно, мне понравилось. спасибки!!!

kak vznat parol na windows????????? ychotnaya zapis administrator toze zablokirovana!!!!!

skipe007
п. 2.5. главы VIII Соглашения по использованию
Почитайте правила.
А по вашей проблеме советую вам скачать Hirens Boot CD, там есть снятие пароля Windows.

Цитата:

А какие плюсы и минусы отключения параметра "востановление системы"?

Минусы. Нельзя будет "откатить" систеиу назад в случае сбоев. То есть, оно как бы должно облегчать процесс восстановления системы без переустановки и всего такого. Должно. Как бы))) Но лучше использовать сторонюю программу для создания резервной копии.

Плюс. Отпадает риск, что вредоносное ПО восстановится вместе с не вредоносным.

В любом случае, перед лечением системы функцию восстановления необходимо отключать, а точки восстановления удалять. Позже, когда вернётся уверенность, что система чиста можно и включить функцию.


Цитата:

Получилось с файлом, так прикольно, мне понравилось. спасибки!!!

Рад, что понравилось) Только увлекаться особо не стоит)

rinmoshi

Цитата:

То есть, оно как бы должно облегчать процесс восстановления системы без переустановки и всего такого. Должно. Как бы)))

оно и реально помогает, уже много лет этим пользуюсь
поднимая систему простым копированием файлов реестра у клиентов
(т.к. я ранее у них не был, не имел возможности использовать стороннюю программу для создания резервной копии)

я уже стал забывать - как это переустанавливать...

и в лечении блокираторов очень помогает...
(конечно если уметь всем этим пользоваться)

Подцепил порно-баннер sms 7331691+36+3 на номер 9800. На сайте Каспера и DrWeb деблокиратор на него не сработал. Удалил процесс-эксплорером. Отправил Касперу на исследование.