» Windows заблокирован!

sergei1963
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Shell должен быть Explorer.exe и параметр Userinit, C:\WINDOWS\system32\userinit.exe,

sergei1963. проще воспользоваться Universal Virus Sniffer. Запустить, загрузившись с LiveCD, выбрать пункт "Bыбpaть кaтaлoг Windows (выбpaнa aктивнaя cиcтeмa)", указать папку Windows заражённой системы, снять галки с "Bыгpyжaть нeизвecтныe DLL из uVS (вoзмoжны cбoи в paбoтe uvs)" и с "Зaмopaживaть вce пoтoки внeдpяeмыe в uVS (вoзмoжны cбoи)", нажать на "Запустить под текущим пользователем". Пункт меню "Дополнительно" -> "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие", потом "Дополнительно" -> "Твики" -> "Сброс ключей Winlogon в начальное состояние".

C Вашего позволения пусть до завтра все останеться, сегодня уже голова кипит. Да и комп на работу унес. Что не будет получаться буду спрашивать.

sergei1963
Судя по номеру телефона вымогателя, у вас простой случай как у ynbIpb пост: http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=1480#10
Главное не забыть восстановить userinit.exe.

Да порнобанер может вообще антивирусником никогда не определятся,надо конкретно смотреть что он прописал в автозагрузку и убирать этот его "сценарий" и ключи explorer и userinit в ветке winlogon восстанавливать если те испорчены,или к ним что то дописано как часто бывает. чем и хорош erd. там все наглядно -нагляднее некуда. в принципе способ с тоталом хорош по датам можно увидеть абракодабрские ексешники и удалить в sistem32,windows,папке пользователя.но реестр восстановить все равно придется.

sergei1963

Цитата:

Цитата:
Попробуйте этим: http://www.esetnod32.ru/.download/livecd/

Мне или нет, как то безадресно.

Да, Вам, если доктор веб ничего не нашел после проверки, то попробуйте livecd nod32.
Цитата:

http://zalil.ru/31044628 (NOD32 палит криптор, которым накрыт зловред)

Если палит, то найдет. Но вот по поводу восстановления оригинальных файлов и записей в реестре вряд ли поможет. Так что это отдельно скорее всего придется восстанавливать.

День добрый! Хочу отписаться.
Во первых-LiveCD нашел всякого г-на, но не то, что нужно.
Ребята загрузили с флешки операц. систему и скопировали нужные файлы, ненужные удалили(как на словах легко!)
Вообщем действовали по описаниюynbIpb, пост с описанием борьбы с гнидами, оказался вовремя в нужном месте
Ну и всем большое спасибо за участие и за помощь.

Ну еще хотелось бы добавить,
После разблокировки компа, полазили по истории посещения интернета.
Глюкнулся комп после посещения ссайтика http://zvukoff.ru/

касперский тоже добавил эту дрянь в детект. Ну а на сайте ничего подозрительного вроде бы не нашел, кроме того, что мозилла пишет предупреждение о том, что сайт атакует компьютеры...

Чё то мое предложение выложить userinit.exe и taskmgr.exe для всех операционак не кто не поддержал. На мой взгляд очень удобно было бы.

Цитата:

Чё то мое предложение выложить userinit.exe и taskmgr.exe для всех операционак не кто не поддержал. На мой взгляд очень удобно было бы.

Я за, кому-нибудь пригодится...

ynbIpb
Очень интересно как Вы узнали, что вирус пролез через эксплоит в яве?
Спасет ли при этом типе заражения гостевой запуск браузера? Мне кажется, что браузерописатели должны взять на заметку запуск из под гостевой учетки, тогда можно будет гордится не пробиваемостью своего детища. Поскольку заставить пользователей винды работать с ограниченными правами не удается.

Цитата:

Очень интересно как Вы узнали, что вирус пролез через эксплоит в яве?
Спасет ли при этом типе заражения гостевой запуск браузера?

Пришёл к выводу, так как была установлена старая версия явы и пациент перед появлением видел окошко явы посередине. Ну на самом деле в таких клоаках ставят связки эксплоитов, оно поочерёдно перебирет все варианты и в итоге пролезает.
В режиме запуска от гостя спасёт точно (если у них нет эксплоита на повышение привелегий пользователя конечно). Гость не имеет прав на запись даже на диске D:\

INKOGNI
Кстати, с рабочего компа попытался войти на этот сайт, лис его не пропустил. А вот опера?????????дома ......!

Тоже несколько раз боролся с новыми блокираторами которые подменяют userinit.
Сначала прохожусь UVS - удаляю темпы и другой хлам, делаю сброс ключей winlogon, чищу hosts( на всякий)
Далее просматриваю/редактирую автозагрузку с помощью AutoRuns.
Копирую в винду userinit.exe explorer.exe taskmgr.exe
Просматриваю/редактирую опасные области корень С, C:\Documents and Settings\Юзеры, C:\Documents and Settings\Юзеры\Application Data\
По возможности сканирую Documents and Settings и Windows cureit-ом, но обычно лениво ждать.
В последний раз после всех этих действий, загрузил лечимую винду и через минут пять работы блокиратор выскочил снова (правда на компе был подключен интернет).
Вобщем не стал парится и сделал восстановление системы на точку, но это хорошо, что винда была нормальная, а во всяких зверях восстановление отключено, вот тогда бы думаю пришлось бы повозиться.
Интересно где-же еще могла бяка быть?

При проверке тоже наблюдал вирус в яве.

Кому нужны userinit.exe и taskmgr.exe вот народ уже постарался: http://antivir.h18.ru/metodika/0030.html

Вот еще любопытная прога, надо будет поиспытывать: http://demenev.ucoz.ru/load/

Цитата:

сделал восстановление системы на точку

Что чревато восстановлением зверья. Лучше вручную - только файлы реестра.

Цитата:

Интересно где-же еще могла бяка быть?

В любом месте (корни других дисков, например), - не имеет значения, если пропущена запускающая запись.

После восстановления системы, все действия по списку.
Erekle если знаете какие еще файлы реестра смотреть, пишите не стесняйтесь.

Что бяка может быть в любом месте и так понятно, конкретные места дислокации, на примере последних локеров в студию.

Раз в uVS нет функции штатного восстановления, а наоборот - есть его отключение, а Винда попалась нормальная, значит, копий, созданных с uVS, там не было, - выходит, делали штатным средством (ERD или как).

После восстановления нет смысла искать "какие ещё" файлы - не во второй же раз заменять?
Копия реестра - те файлы, что лежат в папке восстановления > RР** > Snapshot. Разумеется, с нужным переименованием и в соответствующие места (пять - в system32/config, ntuser.dat - в папку профиля пользователя). Естественно, с резервным сохранением имеющихся (активных) файлов.

Штатное восстановление возвращает на место не только реестр, но и вирусы (имеющиеся там с большой вероятностью); кстати, возвращает и реестр с нежелательными записями, если копия создавалась после заражения.

RAVIN202

Цитата:

а во всяких зверях восстановление отключено,

Ну так его можно подключить.

Цитата:

Интересно где-же еще могла бяка быть?

Тут скорее сидел Trojan-Downloader, роль которого только скрытно жить в системе (возможно использование технологий руткитов) и скачивать файлы, которые хозяин указал.
Вон он скорее по новой его скачал и запустил.

Если чистить "с диска" то файлы восстановления тоже проверяются,а вот ключи при откате нужно будет посмотреть,чем хорош erd comander там многое можно через"управление компьютером-автозагрузка) сделать,а если что то править то уже редактор реестра.

Добрый день! Проблема следующего характера. Текст с требование пополнить счет телефона 9197655201 на сумму 500 рублей вылезает уже непосредственно до загрузки винды. Думал справиться с ним по средствам Win7SE_UVS, но попытки были тщетны. Сообщение вылезало сразу после выбора устройства с которого грузиться.
Что делать? Номеров для разблокировки на сайтах-деблокерах нет.

flashsonar

Цитата:

Win7SE_UVS

а что за штукая такая?
можно ссылочку для изучения?

tahirg По сути это лайф сд с Universal Virus Sniffer.

flashsonar
Баннер лезет в меню БИОС чтоли? Сбрось настройки БИОС. Это позволит по дефолту выставить первичную загрузку с CD или Flash. Пробуй другие образы LiveCD (из варезника. ) главное чтоб там была утилитка Hijackthis . Запускай её с удаленным реестром и ковыряй гадов.

flashsonar, а что говорит MBRCheck?

01pump
Neon2
Спасибо за советы. Какой-то не стойкий баннер попался... и проблема решилась сама попыткой загрузить ними ХР с флешки. В тот момент когда система отказалась грузить с флешки начала грузиться полноценная система. Сразу стал проверять Нодом, он нашел "Неизвестный TSR.Boot вирус". MBRCheck не помог.
UPD: uVS тоже не помог. Не знаю чо делать, пока что...

Ха! Винлокеры перебираются в загрузочный сектор. Весело однако.
В XP должно помочь в режиме восстановления (нажать R при загрузке с установочного диска)
Вбить: FIXBOOT и FIXMBR

А в Win 7 кто помнит?

flashsonar
Цитата:

Не знаю чо делать, пока что...

А Нод что ли не удаляет? Раз обнаруживает, то и удалять должен.

Цитата:

В XP должно помочь в режиме восстановления (нажать R при загрузке с установочного диска)  
Вбить: FIXBOOT и FIXMBR

Дак при попытки загрузки с любого загрузочного диска вылезает баннер

немножко оффтопа: а если будет два физических HDD с покоцаным MBR? Будет два баннера?