» Windows заблокирован!

Цитата:

А какие плюсы и минусы отключения параметра "востановление системы"?

Если отключено восстановление системы и убит один из файлов реестра шансы на восстановление винды будут очень маленькие

Цитата:

Но лучше использовать сторонюю программу для создания резервной копии

Для обычных пользователей это не вариант(они о восстановлении не знают), для продвинутых тоже ибо комплексное решение бакапов вроде acronis norton ghost лучше , проблемы ведь часто не только в реестре

Порно-баннер sms 733177 на номер 2474. Файл plugin.exe в папке Program Files. Решается удалением этого файла в безопасном режиме. А также снятием галки в msconfig.

Вылечил этим способом пару компов.
Собссно сам способ в двух версиях.
1-я версия с использованием WinPE
2-я при наличии 2-го компа

Версия 1-ая: Итак грузимся с LiveCD (как это сделать я думаю объяснять не надо!?) после загрузки Win'ды жмем Win+R (Пуск-->Выполнить) в появившемся окошке пишем regedit тычем Enter.
В окне редактора реестра выделяем ветку [HKEY_LOCAL_MACHINE] жмем Файл --> Загрузить куст, далее по пути <буква_диска>:\Windows\system32\Config находим файло SOFTWARE. Собссно открываем (подгружаем) его, открывается окно "Загрузка куста реестра" Имя раздела можно ввести любое, но лучше сделать его отличным от названия ветвей реестра (я ввожу 123).
Далее в данной ветке(подгруженной 123) находим [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в строке Userinit должно быть прописано: "<буква_диска>:\Windows\system32\userinit.exe," (без кавычек), если путь отличатся то прописываем его сами, но перед этим запоминаем на какой файло указывает кривой путь идем и уничтожаем заразу по этому адресу, если же путь верный то смотрим строку Shell (в моих случаях это была именно она) и смотрим что прописано в ней(должно быть - explorer.exe) может быть прописано что нибудь типа <буква_диска>:\Documets and Seting\<учетная запись пользователя>\AppData\Local\Temporary Internet Files\<название папки может быть любым>\<Вас_поимели(название файла может быть другим)>*exe или *bat.
Идем по этому пути и для надежности удаляем все файлы из конечной папки,после этого меняем значение в строке Shellна "explorer.exe"(без кавычек).
Далее Файл --> Выгрузить куст.Закрываем Редактор реестра.Перегружаемся (не забываем в биосе переключить загрузку на HDD или просто вытаскиваем диск из дисковода)

Версия 2-ая: Отличается от первой только тем что зараженный винт мы втыкаем на рабочий комп. Сканим антивирем (для очистки совести и экономии времени) если антивирь удалил всех гадов,но окошко с просьбой отослать СМС все равно осталось, повторяем процедуру излечения по версии 1.

ВЫВЕДИТЕ ПЛИЗ ЭТОТ СПОСОБ В ШАПКУ!

Помогите, забрала ноут с работы всё с той же проблемой, блокировочное окно с проздьбой отправить смс, перепробывала всё что здесь было написано, в реестре всё проверила, там всё нормально, лишних прописей нет. Лайв СД Веба не обнаружил ничего, AVZ тоже не помогло. Помогите, не охота виндовс переустанавливать, много всего на ноуте, нейро не пишет в безопасном режиме.

Mashakodinec
http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
AutoRuns запустить можно?
Если да, то отключите что не нужно.

Keklik
как это зделать? Запустить авторунс?

Добавлено:
Keklik
у меня нет этой программки, сейчас скачаю

Добавлено:
Keklik
это в безопасном режиме ее нужно запустить?

Mashakodinec

Цитата:

это в безопасном режиме ее нужно запустить?

Запустите в любом. Главное что-бы вирус не мешал.

Keklik
А что нужно отключить? Я не очень в этом понимаю. программка загрузилась

Цитата:

Лайв СД Веба не обнаружил ничего

я уже поднял проблему этого диска на форуме веба
там серьёзный глюк и базы меньше на 300000 (триста тысяч) вирусов
пока доверять этому диску нельзя
диск от Каспера с базами от 07.01.10
с приятным сюрпризом внутри
тузла для создания\перепаковки диска до свежего состояния
Readme приложен в архив

123 мб
http://rapidshare.com/files/334552019/kasresupd.part1.rar
http://rapidshare.com/files/334552027/kasresupd.part2.rar

скачайте, обновитесь, запишите, загрузитесь диском из под доса и сканте ноут
поможет

tahirg
Большущее спасибо, как всё зделаю, отпешусь.

Mashakodinec
Все службы подписаны.
Если от майкрософта - это свои.
С остальными не проблема разобраться, посмотрев их свойства.

tahirg
не скачивается что-то.

Добавлено:
tahirg
как называется эта программа от касперского?

Mashakodinec
на фолдер закинул
http://ifolder.ru/15992704
http://ifolder.ru/15992755

tahirg
спасибки, скачивается!

Добавлено:
Keklik
Спасибки!

Добавлено:
При помощи Авторун в безопасном режиме отключила все что не прописано под Майкрософт, перезагрузилась, ноут загрузился нормально, окна блокировки не было, установила антивирус, просканировала систему - зло найдено:

Trojan.Agent/Gen – C:/RECYCLER/S-1-5-21-776561741-813497703-141700133-500/DC14/SYS

Trojan.Agent/Gen – Tres {Drop} – C:/Documents and Settinds/Администратор/Local Setings/ Temp/ 733.exe

Trojan.Agent/Gen-WZ{Fake} –
1.    C:/RECYCLER/s-1-5-21-9845117602-7547943206-698185604-2314/SYSDATE.EXE
2.    C:/WINDOWS/Prefech/SYSDATE.EXE-0BF1EB41.pf

Удалила из карантина антивируса все найденные трояны, перезагрузилась, включила программку Авторун, что бы включить всё то, что отключила,- включила, перезагрузилась, опять это окно блокирующее систему, зашла в безопасный режим, сканирую систему антивирусом, результата нет, антивирус не нашёл троян. Через авторун отключая приложения и перезагружаясь нашла трояны и удалила, 4 шт. 5-й последний был в Everything – mfo.exe – удалила и всё ок. Может кому пригодится.

tahirg
В следуюющий раз (архив еще не скачался) попробую Вашим способом.

Mashakodinec
ну чтож успехи на лицо, незабудте вычистить темпы,
http://www.google.com/search?hl=ru&source=hp&q=ATF-Cleaner&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=null&oq=

галочку на пункт "select all" и emtry (учтите могут слететь пароли к некоторым сайтам)

вот может кому пригодится, самый свежий диск от веба, мной перепакованый, свежесть на 18.01.10
на кол-во баз в супорте не смотрите, трудно распаковать тот архив и поправить циферки
но добьюсь и циферки будут правильные

http://rapidshare.com/files/337314068/DRWEBLIVECD.iso

ps а что за антивирь вы поставили?
надеюсь не это убожество нод32 или авира
поддержим отечественного производителя
Каспер или Др Веб!

tahirg
антивирус SuperAntiSpyware - в этом топике где-то есть ссылка на него, он мне уже не раз помог от этой гадости избавится, но в этот раз на ноуте, сканируя в безопасном режиме он меня огорчил. Хотя и так не плохо он 5 штук нашёл троянов, а до этого авастом пользовалась.

Добавлено:
tahirg
я не понимаю, что значит вычистить темпы?

Добавлено:
tahirg
папки темп удалить в смысле?

Добавлено:
tahirg
Прикольная программка ATF-Cleaner - спасибо, пароли не проблема, безопасность дороже.

Mashakodinec
для темпов как раз и нужна эта прожка ATF-Cleaner
ручками не нужно работать, автомат понимашь...

tahirg
дошло...

Добавлено:
tahirg
я многово не понимаю и лутьше переспрошу, не нужно сердится

Всем доброго времени суток.
Попалась и мне такая гадость. Благодаря этой ветке спокойно вычистил "темпы", нашел в реестре строку запуска этого "шедевра", удалил её (он дописался в hklm/software/microsoft/windowsNT/currentversion/winlogon, параметр Userinit="C:\WINDOWS\system32\userinit.exe, C:\Documents and Settings\user\Local Settings\Temp\cfg832.tmp") и перезагрузил комп. Потом, после обновления, AVP WKS 6.0.4.12 нашел в cookies userinit.dll и грохнул её как вирь. После удаления перезагрузив комп. И вот потом началось...
Система стала грузиться раз в пять дольше (на экране на синем фоне "загрузка параметров" и тишина). После загрузки панель задач уже не отображала никакие запущенные программы (т.е. на раб. столе окна есть, а внизу, на панели, их нет). Комп стал временами ощутимо тормозить, рывками как-то работает (по диспетчеру процессов загрузка нулевая и обращений к винту нет). Ни одно сообщение в "управление->просмотр событий" уже не открывается(никаких сообщений об ошибках нет, поведение как будто бы и не нажимал никуда, просто "мороз"). Групповые политики gpedit.msc не редактируются: слева дерево есть, а справа пусто, белый квадрат и ни одной надписи.
Раздел сканил на другом компе - чисто. Что посоветуете? ОС переставлять нежелательно.
P.S. В безопасном режиме то же самое. ОС - WinXP SP3 x32 регулярно обновляется с сайта ms.

Ну а запустить как здесь я уже советовал AutoRuns и посмотреть что левое грузится не судьба?

Цитата:

Всем доброго времени суток.
Попалась и мне такая гадость. Благодаря этой ветке спокойно вычистил "темпы", нашел в реестре строку запуска этого "шедевра", удалил её (он дописался в hklm/software/microsoft/windowsNT/currentversion/winlogon, параметр Userinit="C:\WINDOWS\system32\userinit.exe, C:\Documents and Settings\user\Local Settings\Temp\cfg832.tmp") и перезагрузил комп. Потом, после обновления, AVP WKS 6.0.4.12 нашел в cookies userinit.dll и грохнул её как вирь. После удаления перезагрузив комп. И вот потом началось...
Система стала грузиться раз в пять дольше (на экране на синем фоне "загрузка параметров" и тишина). После загрузки панель задач уже не отображала никакие запущенные программы (т.е. на раб. столе окна есть, а внизу, на панели, их нет). Комп стал временами ощутимо тормозить, рывками как-то работает (по диспетчеру процессов загрузка нулевая и обращений к винту нет). Ни одно сообщение в "управление->просмотр событий" уже не открывается(никаких сообщений об ошибках нет, поведение как будто бы и не нажимал никуда, просто "мороз"). Групповые политики gpedit.msc не редактируются: слева дерево есть, а справа пусто, белый квадрат и ни одной надписи.
Раздел сканил на другом компе - чисто. Что посоветуете? ОС переставлять нежелательно.
P.S. В безопасном режиме то же самое. ОС - WinXP SP3 x32 регулярно обновляется с сайта ms.

Я предложу запустить последний AVZ в нём выбрать востановление системы и поставить все галки кроме той с которой написано "Опасно", нажать "Выполнить отмеченные операции" и перезагрузиться. Просканить всё последним KIS'ом.

fobos_al
А после всего проделанного sfc /scannow
МОжет восстановит нехватающие файлы

tahirg
Добрый день, подскажите что делать со вторым архивом Kasresupd? Первый извлёкся нормально,второй при извлечении выдает сообщение в окне рар – « Для распаковки нужно начать извлечение с предыдущего тома». Как это зделать?

gold_boy
Спасибо за помощь, avz с указанными параметрами помог. Последующее сканирование ничего не нашло. Машина пока работает нормально.
Меня очень сильно настораживает то, что AVP никак не среагировал на файлы в temp. Даже обновлённый он говорит "опасных объектов не обнаружено". Скормил этот файлик на virustotal, результат удручающий - только 12 из 41 антивирусов сказали, что это вирь. AVP в их числе нет

fobos_al
У меня тоже так было, антивирус не обнаружил всё трояны, 4 нашёл, 5-го я сама при помощи программки Авторун нашла и удалила. Так что вывод, никто не защищен на 100%.

Mashakodinec

Цитата:

Так что вывод, никто не защищен на 100%.

не верно:
от этой заразы защищен на 100%
[more]тот у кого нет компьютера...
[/more]

Vigorous
да уж....

http://softget.net/2123-popup-killer-kody-k-blokiruyushhim-windows-virusam.html/
http://softget.net/freeware/projects/RansomHide/ransomhide.exe

Цитата:

Микроскопическая, но при этом мегаполезная программа для тех, у кого по той или иной причине на компьютер попал и этот самый компьютер заблокировал вирус, выдающий себя за фальшивую активацию Windows. Программа является сборником кодов, которые надо ввести в соответствующее окно, чтобы эту самую блокировку снять - а дальше либо поставить антивирус и почистить компьютер, либо любым другим способом удалить вредоносную программу. Ведет поиск по номеру SMS и требуемым к отправке текстом.

оффлайн база смс кодов + пара мелких плюшек...

NaxAlex
а как обычному пользователю её запустить
если все заблокировано?

Vigorous
всё? мне пока не поподались чтобы все было заблочено. вообще то это не панацея, а лишь одно их средств, чтобы под рукой было...
как запустить обычному пользователю... ммм обычному наверно никак