» Windows заблокирован!

Uraanfgh56
Запятую после userinit.exe не удаляйте.
А после запятой путь к этому троянчику. Под системный процесс гад маскируется.

Цитата:

я так понимаю что добавку - ,E:\Documents and Settings\Admin\Application Data\lsass.exe удалить ?

Угу. Tanker2 правильно заметил, запятую оставить. И удаляйте потом из автозагрузки и
из Application Data= lsass.exe
Это он и есть.

Tanker2
Selev
Рассказываю - удалил всё что после запятой , в том числе и запятую - после попробовал загрузиться - ноль эффекта - выдаёт иконку"администратор" - жму войти - пишет - загрузка параметров и сохранение параметров и перемергывает быстро - типа пытается загрузиться и тишина , до правки это строчки в реестре - хотя бы в таск манагере через выполнить можно было explorer запустить ,
даже в разных безопасных режимах не захотел запускаться ...

благо был родной установочный диск с сборкой - пришлось с него восстанавливаться ....

Uraanfgh56

Цитата:

в том числе и запятую

Ну а что вы хотите....Параметр ключа с запятой, она там не для красоты.

Собственно уже 2-ой раз такую заразу ловлю ...
И почему-то антивирусник не всегда успевает заблокировать эксплойт загружающий эту заразу.

Ну почему ? !!! - нельзя в реестре отслеживать и/или блокировать "точки входа" данных блокеров - ведь более менее известны куда и что они прописывают и как "искажают" реестр ...

так это... не сидите под админом, имейте файрволы)) не ходите на порно/варез сайты, не качайте чего не надо, делов та...

Есть такая вещь, AnVir... называется, весьма помогает. Но к этому ещё и винда должна быть по максимуму обновлена.

Uraanfgh56

Цитата:

И почему-то антивирусник не всегда успевает заблокировать эксплойт загружающий эту заразу.
Ну почему ? !!! - нельзя в реестре отслеживать и/или блокировать "точки входа" данных блокеров

Можно . надо только знать чем
http://rutracker.org/forum/viewtopic.php?t=1443363

Uraanfgh56
Или такой вариант
http://support.kaspersky.ru/viruses/solutions?qid=208638548
А вообще
NaxAlex

Цитата:

так это... не сидите под админом, имейте файрволы)) не ходите на порно/варез сайты, не качайте чего не надо, делов та...

Золотые слова.

Uraanfgh56
еще есть полезная прога при вебсерфинге - типа Shadow Defender и иже с ним стоящие

В связи с тем что вири стали удалять userinit.exe. Предлогаю выложить архив с userinit.exe для всех ОС как 32 так и 64 битных, естественно с официальных образов. Сам могу выложить userinit.exe от Vista Ultimate 32 и 64 бит.

Всем привет !! Столкнулся не так давно с какой-то новой заразой, до этого мне не попадавшейся !!

Просканировал Kaspersky RescueCD нашёл вирусы, удалил !! Dr.Web LiveCD не нашёл ничего !! После сканирования пробовал загрузиться, баннер опять появился. Какими ещё методами можно его удалить ?? Прошу помощи !!

NuLLBoyZ
тут "СТОПЯТЬДЕСЯТЬ РАЗ" уже писали, читайте тему.
1. грузим с компакта операционку
2. открываем реестр заражённой машины
3. читаем и убиваем "не нужное" в винлогоне и то, на что это "не нужное" ссылается
4 и т.д.

NuLLBoyZ
1Kipovec
Позвольте совет - в догонку:
После установки с компакта операционки ставим KIS - пущай он работает. а мы будем радоваться жизни.

Kaspersky RescueCD дело, конечно, хорошее; однако, вирусописатели всегда на шаг впереди такого рода RescueCD.
Если даже KIS один раз пропустит вирус и выскочит бяка-баннер, а перезагрузка не поможет; попробуйте в безопасном режиме сделать откат системы (у меня такая гадость полгода случилась, реестр я не чистил - не рисковал, поскольку не дока в подобных вещах, а сделал описанное выше(.

IMHO.

В последнем случаю за сегодня:
файл userinit.exe подменяется на копию "вымогателя" (и в dllcache также). Сам вирус и в качестве оболочки винды, размещенный в /All Users/Application Data/.

В XP userinit.exe крайне не защищеный файл легко удаляется и переименовывается из под админа. MS и антивирусы могли бы и защитить его.

Ходил сегодня на вызов. Вот и мне попался подобный экземпляр.
(клик для увеличения)
Пациент сидел в гавновконтактах и вдруг оно вылезло. Как оказалось пролез через эксплоит в яве. Антивирус стоял фришный AVG.
При запуске кидает свое тело в: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и прописывает его в реестре вместо проводника HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell - Это отвлекающий манёвр.
Идём дальше: Удаляет: userinit.exe и taskmgr.exe в папке C:\WINDOWS\system32\, вместо них подсовывает своё тело. Тоже самое в каталоге C:\WINDOWS\system32\dllcache\, чтоб операционная система не восстановила файлы, кстати как-то он обошёл систему слежения за важными файлами, которая должна выводить сообщение про подмене и просить вставить оригинальный диск. Ах да на самом деле он не удаляет userinit.exe, так как во время работы системы это не возможно. он его переименовывает, например в 03014D3F.exe

Лечение: Грузимся с LiveCD, который поддерживает работу с реестром, исправляем отвлекающий манёвр, Далее вставляем оригинальный диск Windows и в Total Commander открываем заархивированный оригинальный файл userinit.ex_ (будучи у пациента я не заметил переименованный оригинал, хотя подозревал) и извлекаем в те места, где он должен быть. Тоже самое и с taskmgr.exe (кстати у пациента он не был удалён)

тело зловреда: _http://zalil.ru/31044628 (NOD32 палит криптор, которым накрыт зловред)

Какой гаденышь этот вирь, даже при запуске через песочницу умудряется висеть поверх остальных окон...

ynbIpb
В моем случае было тоже самое, код не выдавал ни вэб ни каспер три дня. Правда taskmgr.exe не был удален. По моему удаление и переименовывание файла вещи равносильные.

Цитата:

По моему удаление и переименовывание файла вещи равносильные.

Да эффект тот же, но восстанавливать проще)

Мне вот интересно после уплаты и получения кода они файл userinit.exe так не восстанавливают ниоткуда.

Цитата:

Мне вот интересно после уплаты и получения кода они файл userinit.exe так не восстанавливают ниоткуда.

Никакого кода и не будет. Если даже подойти с логической точки зрения, то у каждого терминала своя система чеков. Кто-то печатает только сумму, номер терминала, число операции и т.п. Развод людей без возможности восстановления работоспособности системы "мнимым"кодом. Ну если конечно они не перепрограммируют терминалы на выдачу определенных кодов после оплаты суммы...

ynbIpb
Я тоже поймал такой баннер, но не на гавносайте, все происходило на глазах когда дочь общалась в инете. Это г-но вылезет неизвестно откуда
Но не в этом дело. Если кто может помогите.
Вопрос такой. Скачан и записан на болванку LiveCD от Веба. В биос зашел, комп грузится с диска LiveCD. Но вот тут возникают небольшие проблемки. Там 4 -5 строчки с какой начать. Начал со второй, комп стоял всю ночь сканировался. Утром смотрю какое то окно в котором ничего не нашел, в плане того выключит комп не выключить, вообщем не понял как работает сия прога. Короче все осталось на месте(баннер конечно). Так вот хочу узнать как все таки правильно пользоваться данной програмкой и как удалить этот гавенный баннер. Можно в личку с подробным описанием если конечно не затруднит. За ранее благодарен.

Добавлено:
А может кто кодик знает, что бы снять эту х-нь(тел. вымогатель 89112910115), я искал не нашел. Переустанавливать ОС не хотелось бы.

Добавлено:
И еще забыл. Читая пост ynbIpb, а если у меня не стоит Total Commander, тут как.

зачем еужны все эти гиговые сборки live cd большая часть софта из которой пригодится в загробной жизни..юзайте erd comander,тот же лайф сд только дистр исходняк весит меньше десяти метров,и сгенерив образ и загрузившись можно на вирусы проверить той же утилитой касперского подкинув с флешки и реестр отредактировать и откат сделать.

Цитата:

какое то окно в котором ничего не нашел

Цитата:

проверить той же утилитой касперского

Доктор мог просто еще не знать о таком вирусе. Касперским вчера точно не детектился, так что смысла пока нет скачивать и проверять. Либо другими антивирусами, что уже детектят, либо ждать добавления в базы. Только что проверил, каспер молчит на этот:

Цитата:

тело зловреда: _http://zalil.ru/31044628 (NOD32 палит криптор, которым накрыт зловред)

Попробуйте этим: http://www.esetnod32.ru/.download/livecd/ только не уверен, что он восстановит системные файлы. Но удалить должен.

Цитата:

Попробуйте этим: http://www.esetnod32.ru/.download/livecd/

Мне или нет, как то безадресно.

sergei1963
лучше всяких нодов, касперсих и тд, вам бы помогло чтение хотя бы десятка страниц в этой теме...

зачем антивири, если расположение файлов известно?
Цитата:

а если у меня не стоит Total Commander, тут как.

Имелось ввиду, что тотал будет уже на Live CD, а так можно попробовать обнаружить переименованный оригинальный файл (если ваш LiveCD поддерживает ковыряние в файловой системе). Вероятно имя файла это бессмысленный набор букв и цифр HEX.
Если нет возможности поправить отвлекающий манёвр в реестре, то попробуйте грузануться через безопасный режим с поддержкой коммандной строки (но только после восстановление файла userinit.exe), далее пишите в коммандной строке explorer.exe и восстановите загрузку проводника через AVZ (мастер поиска и устранения проблем)
з.ы.
я использую RusLive от NIKZZZZ
Если не знаете как ковыряться в реестре заражённой системы, не помешало бы глянуть видео из шапки, правда ссылка сдохла, а у меня не осталось его. Может кто-то перезальёт или своё снимет.

Чтение постов не сильно помогло, так как комп вообще не реагирует.
Пока прогоняю через Live CD повторно, посмотрим что покажет.
Ну а потом полазаем в реестре.

sergei1963
Лазить в реестре уже надо начинать, и править ключи...

NaxAlex
Я бы с удовольствием, но 2 но. Сканер Live CD работает- ничего не работает.
И если Вы знаете какие ключи править и где(Я не силен в этом) то скинте в ящик пути, что бы здесь не сильно флудить.