Windows заблокирован!

Автор: golon
Дата сообщения: 15.08.2011 12:31

Привет, help)))
словили вообщем эту гадость
При загрузке винды всплывает баннер, хочет код разблокированки.
бился несколько часов, так ничего и не получилось.
ОС windows vista ultimate
В реестре тут
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
все в порядке.
брал файлы explorer и userinit с рабочей машины - не помогает
судя по всему вирусня при каждой загрузке подменяет userinit на свой.
В папке system32 подозриельных вроде не видно файлов
в профиле пользователя тоже.
Где может лежать то оригинальный, или оригинального и не осталось уже?
завтра попробую еще загрузочный диск от каспера, если не поможет, то придется переставлять ОС.

Автор: tahirg
Дата сообщения: 15.08.2011 12:34

Цитата:

брал файлы explorer и userinit с рабочей машины - не помогает

эти файлы ещё есть в DLLCACHE там тоже заменял?

Автор: Gulftown
Дата сообщения: 15.08.2011 12:43

golon

Цитата:

В реестре тут
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
все в порядке.

проверяй все Winlogon и Run*
и папки автозагрузка.

Добавлено:

Цитата:

придется переставлять ОС.

зачем же так кардинально.

Автор: golon
Дата сообщения: 15.08.2011 13:17

Цитата:

эти файлы ещё есть в DLLCACHE там тоже заменял?

нету этой папки на компе как ни странно))
(глянул у себя дома ради интереса на win7, в папке dllcache нет userinit)
там есть папка в директории windows, называется winsxs, в ней есть папка \x86_microsoft-windows-userinit_31bf3856ad364e35_номер_версии_файла - пробовал из нее восстанавливать, не хотит все равно.

да сам всегда материл тех, кто предлагает ось переставлять, а тут сам ничего не могу сделать

Автор: Gulftown
Дата сообщения: 15.08.2011 13:39

golon
внимательно просматривай всю ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
и не забыть про:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
смотреть все параметры, а не только
"Shell"
"Userinit"
бывают также дубли этих веток.

Автор: CVN5510
Дата сообщения: 15.08.2011 17:55

Попробуй поищи что откуда подгружается с помощью проги autoruns. Может найдешь. Она может работать и из-под Live-CD: Исследование автономной системы.
Ссылка на эту прогу есть выше, в этом топике, если найдешь!

Автор: golon
Дата сообщения: 16.08.2011 11:09

Ура, заработало)
Спас меня live cd доктора веба. Просканировал с помощью него диск, нашел где вирус был.
Вирус сидел в папке с кэшем Оперы - 2 exe файла.
После удаления система загрузилась.

Автор: Gulftown
Дата сообщения: 16.08.2011 12:23

golon

Цитата:

Вирус сидел в папке

не важно где сидел, важно чем запускался,
а так жди сюрпризов...

Автор: tshudini
Дата сообщения: 16.08.2011 12:34

Zlataa

Цитата:

Это сложно

за последние сутки скачала всего Лунтика, Дашу и еще кучу советских мультов

Вчера лечил систему клиента от вымогателя, - Касперский нашел в Лунтике зловреда.

Автор: gold_boy
Дата сообщения: 16.08.2011 23:20

Цитата:

Вчера лечил систему клиента от вымогателя, - Касперский нашел в Лунтике зловреда.

В смысле в медиа файле?

Автор: tshudini
Дата сообщения: 17.08.2011 07:22

gold_boy
угу

Автор: h2o00
Дата сообщения: 17.08.2011 11:51

Привет народ! Совет всем!!! Удаляйте у себя программу Java, и забудьте про все эти гадости.
Уже пару лет назад удалил, и нормально. При этом каждый день в инете. Поначалу ради эксперимента лазил везде, не отказывая ни одному баннеру. Результат на лицо. Тфу, Тфу, Тфу. Все беды лезут через эту гадость! Конечно что-то работать не будет (проги которые используют яву), но тут уже кому что надо. Сам сижу на WinXp Sp3. Пробуйте.

Автор: d0r0fey
Дата сообщения: 17.08.2011 12:17

не совсем по теме:

зловред, который, при наличии интернета, перезагружает компьютер.
http://www.virustotal.com/file-scan/report.html?id=00427e5e6e494cdc3e9afc2739d3fbbf0f2646c63685ab418703ea07c064d2f1-1313568627
пароль: 12345678
тело зловреда

Автор: userrus
Дата сообщения: 17.08.2011 12:40

Mbam
2:38:39 (null) DETECTION qskjsq.exe Spyware.Passwords.XGen DENY

Автор: ynbIpb
Дата сообщения: 17.08.2011 12:48

Цитата:

Удаляйте у себя программу Java, и забудьте про все эти гадости.

На самом деле на подобных сайтах действуют связки эксплоитов, которые нацелены на Java, Flash, Acrobat плагины в браузере. Да по статистике Java самый пробиваемый плагин, его можно просто отключить в браузере и полностью яву удалять не нужно. Например в опере достаточно ввести в адресной строке opera:plugins и отключить всё ненужное.

Автор: bAPMATYXA
Дата сообщения: 17.08.2011 13:06

В лисе очень удобное дополнение QuickJava позволяющее в один клик отключать javascript, Java, flash player, Silverlight

Автор: wsadneg
Дата сообщения: 17.08.2011 17:47

Тогда уж в лисе лучше юзать noscript, он работает по принципу белого списка (всё что не разрешено - запрещено), и в один клик можно разрешить ява на сайте, это намного безопасней, когда спохватишься запрещать - уже поздно будет.

Автор: h2o00
Дата сообщения: 17.08.2011 18:31

Код: на подобных сайтах действуют связки эксплоитов, которые нацелены на Java, Flash, Acrobat плагины в браузере.

Автор: xMOHOXPOMx
Дата сообщения: 17.08.2011 18:31

d0r0fey
Доктора как всегда молодцы...
http://s1.ipicture.ru/uploads/20110817/thumbs/t25rO3lT.png

Автор: jExOn
Дата сообщения: 17.08.2011 20:02

d0r0fey

Цитата:

зловред, который, при наличии интернета, перезагружает компьютер.

у меня так

Автор: NaxAlex
Дата сообщения: 18.08.2011 14:04

Последнее время всё чаще стали попадать вирусы которые селятся в службах пачками...

Автор: wsadneg
Дата сообщения: 18.08.2011 17:45

Цитата:

Код: Тогда уж в лисе лучше юзать noscript

Интересно. Можно по подробней?

Автор: h2o00
Дата сообщения: 18.08.2011 22:56

wsadneg

Интересно, посмотрим.

Автор: tshudini
Дата сообщения: 20.08.2011 11:49

Ребята, Аваст и битдефендер ругаются на ссыль из шапки для

Цитата:

Universal Virus Sniffer -краткая инструкция-

что за чушь? Каспер и Авира пускали свободно.

Автор: sevik68
Дата сообщения: 20.08.2011 12:03

Каспер 6 wks тоже ругается
не обращай внимания
в крайнем случае сделай копию странички

Автор: tshudini
Дата сообщения: 20.08.2011 12:08

Цитата:

Каспер 6 wks тоже ругается

Уже ругается? Именно он и стоял до вчерашнего дня у меня. Все было нормально. правда на страницу справки не заходил несколько дней.

Автор: zikol
Дата сообщения: 20.08.2011 12:23

Цитата:

Ребята, Аваст и битдефендер ругаются на ссыль из шапки для

интересно, как они умудряются ругаться на страницу, на которой никакие скрипты не используются и даже реклама только от бесплатного хостинга на котором размещена страница.
наверное, "шипко умные эвристические приемы".
а как сообщить на странице аваста о ложнике? Не могу найти такой формы у них.

Автор: tshudini
Дата сообщения: 20.08.2011 12:46

zikol

Цитата:

интересно, как они умудряются ругаться на страницу, на которой никакие скрипты не используются и даже реклама только от бесплатного хостинга на котором размещена страница.

Ну вот человек пишет:
strannik727

Цитата:

Проверил BitDefender 2011 тоже не пускает, говорит там вирус: Trojan.Iframe.QR

Автор: strannik727
Дата сообщения: 20.08.2011 12:55

Цитата:

интересно, как они умудряются ругаться на страницу, на которой никакие скрипты не используются и даже реклама только от бесплатного хостинга на котором размещена страница.

BitDefender 2011

Эта страница была заблокирована антивирусом защиты BitDefender в режиме реального времени!

Блокированная BitDefender страница имеет зараженные или потенциально зараженные вирусом объекты. Ваша система НЕ БЫЛА заражена.

Автор: ynbIpb
Дата сообщения: 20.08.2011 20:41

Цитата:

интересно, как они умудряются ругаться на страницу, на которой никакие скрипты не используются и даже реклама только от бесплатного хостинга на котором размещена страница.
наверное, "шипко умные эвристические приемы".

Знаете что такое фрейм?
А как он мог там появиться? Очень просто: Трян спёр пароль от FTP сайта, и протроянил все странички на нём, внедрив в каждый HTML свой код.

» Windows заблокирован!