» Windows заблокирован!

Цитата:

дистриб ХР требует пароль админа.

realy31, вы пробовали просто нажать ENTER?
Скорее всего при установке винды пароль не ставили и его просто нет. Нужно оставить поле пустым и нажать Enter.
Опять же на LiveCD есть утилиты по обнулению паролей пользователей.

Вместо пароля пробовал Enter- пароль есть. А вот ERD05 от 25.01.2005 наконец-то пробился. Прожигал вроде CDBurnerXP, а до этого ImgBurn. На сайте drWeb мне рекомендовали LiveCD, а также менять прожигалки.

Добавлено:
ERD пробился, но доступны только поиск и выполнить. В поиске можно только посмотреть на папки и их свойства; в выполнить regedit и erdregedit не запускаются. Пишет cannot find the file specified.

realy31

Цитата:

ERD пробился, но доступны только поиск и выполнить. В поиске можно только посмотреть на папки и их свойства; в выполнить regedit и erdregedit не запускаются. Пишет cannot find the file specified.

У меня сейчас похожий случай, хотя и несколько другой. Вируса уже нет, но ноут нормально работать не желал. Антивирус обновляться упорно не желает. В трее показывает одну дату, а в сканере другую - старую, аж еще апрель. Под LiveCD жесткий сначала кое-как виделся, а сейчас вообще не виден, хотя винда и грузится. Стал проверять жесткий (Seagate SATA), а у него через раз ошибки идут. Так что попробуй жесткий проверить чем-нибудь типа MHDD или Виктории.
После замены жесткого все запело...

Опять же- замена... Вначале удалю вира, а потом да- непременно проверка физики.

hohkn

Цитата:

Антивирус обновляться упорно не желает

погляди ветку реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
наверняка там есть имячко твоего антивиря
ищи по типу
avp.exe drwebupw.exe вообщем понял
имя исполняемого файла антивиря
удали этот ключ и покатит обновление

У меня прогресс. В теме DART 6.5 в посте нашел готовый iso 5.0. Исполняет ErdRegedit. Userinit в норме. В HKLM\ SOFTWARE\MICROSOFT\WIN NT\Current Version\Winlogon в ключе Shell вместо Explorer.exe Прописано C:\Doc & Set\All Users\Appl Data\22CC6C32.exe. На диске С: в App Data лежит файл 22CC6C32.exe и файл ooooozTnHRb.exe. Оба по 24 КВ от 24.05.11. Удалять не решаюсь, возможно это еще не все. Хотел бы сбросить 20 ГБ инфы на usb, но флэш не определяется. В USBSTOR ключ Start обозначен 3. Как дальше? В качестве ключа разблокировки оба имени не подходят.

Цитата:

В HKLM\ SOFTWARE\MICROSOFT\WIN NT\Current Version\Winlogon в ключе Shell вместо Explorer.exe Прописано C:\Doc & Set\All Users\Appl Data\22CC6C32.exe. На диске С: в App Data лежит файл 22CC6C32.exe

Я с таким боролся - ц тебя должно быть 3 разных телефона меняющих друг друга с интервалом 1 сек.

В общем у меня загрузчика не оказалось - а штатными средствами удалить не мог - пришлось винду поверх катать.

realy31, то что прописано в Shell это отвлекающий манёвр, если его исправить зверёк всёравно запустится. он подменил собой userinit.exe надо впихнуть оригинальный от твоего сервиспака.
Я уже описывал его тут

ynbIpb
Спс, из-за чехарды с ERD и LiveCD забыл о твоем посте. Вечером буду править.

Выполнил все рекомендации, банер пропал, но в реестре в Shell cmd.exe/k start cmd.exe
Подскажите почему?
Огромная благодарность всем реальным помощникам на форуме. СПАСИБО.

tahirg

Цитата:

погляди ветку реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
наверняка там есть имячко твоего антивиря

Спасибо! Оказывается, довольно простое решение проблемы!!!

Здравствуйте,я залезла C:\Documents and Settings\All Users\Application Data и удалила 2 файла со странными иконками,которые были созданы во время заражения.Также нашла переименованный userinit.exe(он назывался 03014D3F.exe),восстановила ему имя, удалила подделку, taskmgr.exe не нашла,но нашла его замену и тоже удалила. У подделок были те же даты создания и иконки, что и в Application Data.
C:\WINDOWS\system32\dllcache\ тоже не нашла.
Само окошко,сообщающее о заблокированном компе пропало,но рабочий стол так и не появился. На работу с папками он дает некоторое время,после чего все закрывает и приходится заново все открывать.
LiveCD у меня нет. Что делать?

Sonya1003

Цитата:

LiveCD у меня нет. Что делать?

Сачать его, к примеру, отсюда.

Sonya1003
или вот другой метод

заметил тоже,что последние версии блокера,которые пугают ответственностью за педофилию,"портят USERINIT.EXE причем оба и в dllcache тоже,так что смотрим дату модификации.Все три раза что столкнулся с этим,получилось откатить ,shell вообще отсутствовал,нарисовал вручную.ERD все же использовать надо наверно,не зря же его инопланетяне людям дали.

Sonya1003
Если не с чего загрузиться то попробуй выбрать режим загрузки с поддержкой командной строки, а там уже набрать explorer.exe и запустить. После загрузки смотри ключи реестра указанные tahirg, либо AVZ и другие утилиты. (см. эту тему внимательнее)

Спасибо,попробую.А не проще винду переустановить?Или вирус может остаться и на других жестких?

Sonya1003

Цитата:

А не проще винду переустановить?Или вирус может остаться и на других жестких?

И как часто собираешься переустанавливать? У меня некоторые раза по три в месяц умудряются локер ловить. На других жестких вирус как правило не прописывается, обычно только на системном диске.

Sonya1003
Если бы было легче, то половины тем на форуме было бы не нужно. Даже имея свежий бэкап системы ввиде образа, с разворачиванием за 5 минут, никто бы не стал использовать против подобных вирусов.

как вы ловите подобные вирусы, вот что интересно.

Подскажите какие системные файлы (например userinit.exe) подменяют собой вин локеры?

Добавлено:
Win XP SP3

BennyBlanco, в шапке:
Чистые системные файлы Windows, которые заражают блокеры: скачать

но чаще правят ключи в реестре: Userinit/Shell в HKLM и/или HKCU.
не считая банальной автозагрузки

Skif_off
Всего три файла?
explorer.exe
taskmgr.exe
userinit.exe
-------------------------
winlogon.exe например они не трогают?

На первый взгляд ситуация банальная, подцепил троян вымогатель... выключил комп. Когда снова включил, то никак не мог войти в винду, постоянно выкидывает в окно (режим) выбора пользователя при входе - и так до бесконечности... при загрузке в безопасном режиме и т.д. то же самое... все файла, которые часто инфицируются - чистые, скопированы из другой работоспособной установки ОС, все шпионы и трояны вычислены и удалены...
Что и где заставляет систему постоянно выдавать такой запрос?

Цитата:

Что и где заставляет систему постоянно выдавать такой запрос?

Скорее всего за это отвечает userinit.exe, но раз вы говорите, что он точно оригинален, значит повреждена запись в реестре о нём.
проверьте через LiveCD:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Userinit

alon73
Цитата:

все файла, которые часто инфицируются - чистые, скопированы из другой работоспособной установки

winlogon.exe и logonui.exe тоже?

да, эти файлы тоже хорошие... основную идею понял, liveCD и реестр, попробую...

Рекомендую воспользоваться Universal Virus Sniffer. Запустить, загрузившись с LiveCD, выбрать пункт "Bыбpaть кaтaлoг Windows (выбpaнa aктивнaя cиcтeмa)", указать папку Windows заражённой системы, снять галки с "Bыгpyжaть нeизвecтныe DLL из uVS (вoзмoжны cбoи в paбoтe uvs)" и с "Зaмopaживaть вce пoтoки внeдpяeмыe в uVS (вoзмoжны cбoи)", нажать на "Запустить под текущим пользователем". Пункт меню "Дополнительно" -> "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие", потом "Дополнительно" -> "Твики" -> "Сброс ключей Winlogon в начальное состояние".

Коллеги, как правильно заново создать в regedit удалённые/отсутствующие ключи Userinit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon ?
Копировать имеющиеся похожие и редактировать их (переименовывать) вроде неполучается.

viprus_2004, а предыдущий совет вас чем не устраивает? Создаются ключи со стандартными значениями.