» Windows заблокирован!

ynbIpb
Я думаю хозяева того сайта уже знают о случившемся. И если ничего до сих пор не поменялось то два вывода:
1. Это фейк.
2. Сами и распространяют заразу.

Во второе с трудом верится.

tshudini
это месть кота Леопольда, то бишь винлокописателей, которые загадили страничку
тока почему авторы ничё не поправят?...

Нет, это 100% ложняк на рекламу holm.ru (h18.ru) вот для примера отправил на вирустотал адрес http://fbscorp.h18.ru/partner.php и результат:
http://www.virustotal.com/file-scan/report.html?id=093474c2569f1a6f2a6e845478d1b2ac943139e33b534716b6704e866c5032d7-1313907218

Приветствую! После локера возникла проблема, описанная здесь. Все файлы заменил, все ключи проверил и даже переписал... но не помогает.

Может у кого есть идеи? Переустанавливать сильно неохота.

Добавлено:
Проблема решена - не заметил раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe - глазами, видать, стал слаб на старости лет.

YikxX
avz - восстановление системы

Цитата:

Проблема решена - не заметил раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe - глазами, видать, стал слаб на старости лет.

удалил и все заработало?

opt_step Читать будем или только писать? Какой AVZ если вход в систему невозможен? А при загрузке с LiveCD этот AVZ нужен, как рыбе зонтик - какой толк в том, что он "обработает" загруженную с CD систему?

P.S. Учитесь работать руками - надежнее.

YikxX, лучше "обработать" UVS-ом - гарантия, что ни один из разделов не просмотришь, не пропустишь.

Цитата:

что он "обработает" загруженную с CD систему?

ну почему? почти во всех LiveCD у AVZ есть возможность подгружать целевую ОСь. Главное указать папку Windows.

да, AVZ можно использовать с live CD, но опять же хитрозадым способом. И есть более простые способы.
Удивляют советы типа "проверь AVZ" - давайте ссылки, господа.

zikol
Вы видимо не в курсе,что в данной теме есть "шапка" в ней ссылки на софт присутствуют.

Добавлено:
Ссылка на сбоки LiveCD: http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=47329&start=2560#lt

Neon2
Цитата:

лучше "обработать" UVS-ом

Бум пробовать... Просто я с браузером под ограниченной учеткой уже подзабыл всю эту байду.

358
Цитата:

почти во всех LiveCD у AVZ есть возможность подгружать целевую ОСь.

Видимо, мне всю жизнь попадались "неправильные" LiveCD. А свой собрать все как то "не до сук".

YikxX
советую

Цитата:

Видимо, мне всю жизнь попадались "неправильные" LiveCD.

Маэстро, я удивлён.

Live CD SV-MicroPE 2k10 Plus Pack - http://www.nnm-club.ru/forum/viewtopic.php?t=282876&sid=06f15a99a83f8ad4d6cc007d75b44b4b

На этом live cd утилита AVZ очень хорошо подключается к зараженной Windows

zikol (18:38 22-08-2011)
Цитата:

утилита AVZ

эту прогу уважаю, но по жизни получается что Universal Virus Sniffer (uVS) идёт впереди

358
Пользуюсь ею всего менее месяца но уже успела понравиться. Особенно после того случая когда ни Авира ни Касперский со свежайшими базами не нашли ничего абсолютно, а uvs сняла win-lock !!

Добавлено:
YikxX

Цитата:

Neon2
Цитата:
лучше "обработать" UVS-ом
Бум пробовать... Просто я с браузером под ограниченной учеткой уже подзабыл всю эту байду.

А я как то уже давал ссыль на эту прогу.
http://forum.zverdvd.org/viewtopic.php?p=82940#82940

Похоже вирусописатели-вымогатели вернулись из отпуска, новый шквал обращений по данному вопросу. Люди также расслабились и кладут им деньги, спонсируя дальнейшее развитие. Один из последних экземлляров, как обычно вместо explorera в shell ключе, userinit и taskmgr просто удалены, не заменены копиями вируса, как было ранее.

tshudini
358

Цитата:

но по жизни получается что Universal Virus Sniffer (uVS) идёт впереди

Не нашел там функций по замене ключей на обычные значения и восстановления замененных/удаленных системных файлов... Плохо искал?

Точно сказано - плохо искал.
А вообще, документация у UVS очень специфична и ни каждый ее поймет. Например, в AVZ есть подробное описание каждого пункта программы, а тут нужен глубокий мозговой анализ.

у меня вопрос про бенер, позавчера и вчера столкнулся с новым бенером у клиентов, параметры реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe," нормальные не чего не изменено,
почистил автозагрузку в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , на дуру заменил файлы: explorer, Winlogon, Userinit, сам банер после этого пропал но получилась другая проблема, после окна со входом пользователя винда начинает грузиться, но загрузка рабочего стола до конца не доходит (значки не появляются), и тутже идет завершение работы и выкидывает сразу обратно на выбор пользователя, где эта зараза сидеть еще может? логи скинуть не получится компы у клиентов делал, поэтому сильно долго копаться тоже не получилось, восстановил систему тупо через восстановление системы,

Vild13
ещё погляди HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
случаем присутствует запись userinit.exe?
выкоси

спасибо, в следующий раз как такой попадется обязательно гляну

Цитата:

спасибо, в следующий раз как такой попадется обязательно гляну

А заодно и "тело на опыты" желательно.

1Kipovec У меня есть (debian.exe) - надо?

YikxX
подкидывайте на поглядеть

Ловите. Пароль - virusvirus

Цитата:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe," нормальные не чего не изменено,
почистил автозагрузку в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , на дуру заменил файлы: explorer, Winlogon, Userinit, сам банер после этого пропал но получилась другая проблема, после окна со входом пользователя винда начинает грузиться, но загрузка рабочего стола до конца не доходит (значки не появляются), и тутже идет завершение работы и выкидывает сразу обратно на выбор пользователя, где эта зараза сидеть еще может? логи скинуть не получится компы у клиентов делал, поэтому сильно долго копаться тоже не получилось, восстановил систему тупо через восстановление системы,

Тоже попался такой вирус, востановил через восстановление системы. Про HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options не знал и поэтому параметр не смотрел...

На лечении компа от порно-блокиратора встретил такую версию: ajax.exe в ключах автозагрузки (блокирует хорошо не подберешься) располагался в папке windows\temp Все системные файлы не изменены.

Ребята, а у меня такая вот беда, помогите незнаю что делать. Через безопасный режим с поддержкой командной строки - синий экран.

http://s43.radikal.ru/i102/1108/42/8c807c66a8e6.jpg