» Windows заблокирован!

billybons111
Ничего не понял.
Теперь ещё раз, и попрошу по-подробней!

Ну чтож за напасть = на чёрном фоне - пришлите СМС elnii2 на номер 6005, AVZ ничего не нашёл...

RIZIY
А если загрузиться с Live Cd, запустить редактор реестра РЕ и поглядеть на ключи в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon?
частенько эти штуки там прописываются.
Обратить внимание на ключи:
должно быть
Shell = Explorer.exe
UIHost = logonui.exe
Userinit = C:\WINDOWS\system32\userinit.exe
Все лишнее нужно удалить

Eastoop
не помогло (у меня у друга такая же проблема). походу эта фигня сегодня только появилась. т.к. нигде ещё решения нет. везде только вопросы датированные сегодняшним числом.

Добавлено:
попробовал время системное переставить на вчерашний день. тоже не помогло...

Jonik 123
+1 такая же ерунда.
Если раньше можно было отключить, то сейчас же...

"Против elnii2 на 6005 - загружаем винду в режиме отладки, ctrl+alt+del - выполнить и вводим explorer. Загрузили - ищем во всех системных папках файл hlp.exe, после чего и в реестре сносим записи с ключем, где встречается этот файл. Из реестра можно снести с помощью ccleaner..."
взято отсюда http://www.ixbit.ru/forum?open=1239364609_732

RIZIY
Jonik 123
reaversoul
Просканируйте поиском реестр на предмет разделов Run и посмотрите там: любые подозрительные ключи экспортируйте на всякий и бейте, если всё нормально будет.
Наверняка, зараза прячется в автозагрузках реестра.

Добавлено:
Jonik 123
О результатах обязательно отпишись здесь же. И, если можно, поподробней.

Против elnii2 на 6005 - загружаем винду в режиме отладки, ctrl+alt+del - выполнить и вводим explorer. Загрузили - ищем во всех системных папках файл hlp.exe, после чего и в реестре сносим записи с ключем, где встречается этот файл. Из реестра можно снести с помощью ccleaner... вроде так вылечил..

devels_ti_7
А не можешь сказать подробно: в каких именно ключах реестра встречается ссылка на эту заразу? И в каких папках был обнаружен вышеупомянутый файл?

Добавлено:
Всем, кто столкнулся с этой заразой
Обязательно отошлите hlp.exe на сайты своих антивирусов для занесения его в базы и изготовления лекарства против него.

Респект блин удалил эту заразу,
Прячеться в реестре в Userinit и авторане как писал Eastoop.
Файл hlp.exe только в папке Windos\help\
Но это не точно надо поиск еще произвести, хдд тормоз ((

Только как эта зараза, проникла блин !

П.С. Незнал про отладку, в безопаснике не удалить было думал попал )

Удалить то всё удалил. только теперь не заходит в пользователя теперь... заходит в меню выбора, выбираешь пользователя, начинает загружаться и всё потом снова выкидывает на меню... а в реестре вроде всё вычистил...

Jonik 123

Цитата:

не заходит в пользователя теперь

Видать, в запале ты что-то лишнее из профиля своего (а может, и не только своего) удалил...
У меня такое было, когда я экспериментировал с профилями пользователей.
Попробуй загрузиться под учёткой Администратор.

Цитата:

заходит в меню выбора, выбираешь пользователя, начинает загружаться и всё потом снова выкидывает на меню

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe

Выделенный ключ виноват в невозможности входа
Скорее всего там стоит путь к вычищенному файлу.

Eastoop

и как это исправить?

у меня все норм видать чето ты перечистил.
сделай как в последнем посте !

Добавлено:
Зайди в реестр в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Там будет

Userinit = C:\WINDOWS\Help\hpl.exe - если не вылечил
И поправь на
Userinit = C:\WINDOWS\system32\userinit.exe

ставте Висту или Семёрку, эта зараза их не пробивает!

Цитата:

ставте Висту или Семёрку, эта зараза их не пробивает!

Очень умно!
Кстате это дырка винды али антивируса?


Кто где эту заразу кстате, подцепил ?

olorin11 Винды, в частности ХР, и многих антивирусов
Kaspersky Internet Security ловит эту заразу

Jonik 123

Цитата:

и как это исправить?

Попробуй в режиме отладки (у меня данный режим почему-то не работает (проверить сам не могу): вероятно, последствия двойной загрузки (Xp+Vista) или ещё чего) alt + ctrl + delete, выполнить, regedit и поправь вышеописанный ключ на правильное значение.
Если не удастся в режиме отладки, тогда грузись с LiveCD или WinPE или BartPE или с другой загрузочной Винды. Далее заходим в редактор реестра: Пуск - выполнить - regedit - HKLM - Файл - загрузить куст и выбираешь файл system (Windows, system32, config) из СВОЕЙ Винды, обзываешь подключенный куст как нравится и редактируешь как описано выше себе на здоровье.

Добавлено:
NPC

Цитата:

ставте Висту или Семёрку

Я и сам за прогресс, но на достаточно слабых машинах альтернативы XP нет.
В этом случае и в случае фанатизма XP следует по крайней мере ежемесячно обновлять ОС (это касается, кстати, и более современных ОС), чтобы своевременно латать дырки.
Использование антивирусника со свежими базами также обязательно.

NPC
Вообще то тут обсуждаем, не что ставить, а как побороть заразу.
Jonik 123
Исправить теперь можно или загрузившись с live Cd, либо сняв винт и подключив его к другой системе.

В варианте со стандартным regedit-ом алгоритм такой: запускается regedit, выделяется один из кустов реестра HKLM или HKU. Потом Файл--загрузить куст, находим x:/windows/system32/config/software и загружаем (поименовать можно при загрузке как вам нравится только английскими буквами желательно). Потом заходим в этот куст и ищем нужный раздел, нужный нужный ключ, нужный параметр, меняем его значение на то, что должно быть.
Выделяем корень загруженного куста, далее Файл-- выгрузить куст. Все, исправление сделано. Теперь можно возвращать винт на место и загружаться.

код elnii2 на номер 6005 решение здесь:
Как вылечить elnii2 на номер 6005

для удобства форумчан (чтоб не бегать по ссылкам туда-сюда) собрал и проблему и решение в одном месте
Проблема: elnii2 на номер 6005
Решение: Код разблокировки: 46853456 (от lucikan)

lucikan
ИМХО, это не лучшее из всех возможных решений, поскольку нет гарантии, что эта гадость полностью сама себя уберёт из системы.
Даже если всё заработало, настоятельно советую проверить систему на эту нечисть по методикам, описанным выше.

reddestfox
Я и не говорил, что есть гарантия, что эта гадасть полностью себе уберет.
А вот разблокированный комьютер дает возможность прожолжить лечение, без неоправданого гемороя.

Кстати на блоге по ссылке выше я опубликовал историю получения этого кода и некоторые советы.

Точно самое я видела на этом сайте.
Цитата:

Смотрим сюда

Цитата:

Смотрим сюда

какой то левый сайт со скриптами подозрительными


Цитата:

Сообщить модератору

feuerloescher

Цитата:

какой то левый сайт со скриптами подозрительными

этот "отморозок" ссылки на вирус везде постит.

feuerloescher
0SHV
Банить её, гниду, к такой-то матери. Ещё и тут вирусов только не хватало.

"Банить её" - а кто будет?
сайт давным-давно не модерируется...
..лишь бы по...деть ))))
Sorry за оффтоп.

Цитата:

Shell = Explorer.exe
UIHost = logonui.exe
Userinit = C:\WINDOWS\system32\userinit.exe

У меня стоял userinit.exe,c:\windows\sorry.exe
и в корне с: было несколько файлов cmd2.exe И еще какие-то. Заразилось так - всплывающая ссылка на порнушный сайт - неубиваемое окно отправьте смс для закачки. нод смарт секьюрити ругался на несколько сайтов и закрывал соединения.
Я макстон не закрыл отошел от компа - прихожу винда заблокирована.
Лупа не грузилась лив сд не было с собой - через загрузку в режиме отладки удалось пустить авз и прибить файлы в автозагрузке и ключи в реестре. Вроде перезагрузил нормально комп. Почему нод не убил непонятно базы свежие

slay1212

Цитата:

Почему нод не убил непонятно базы свежие

NOD32 очень тормозит с добавлением в свои базы вирусов-вымогателей, что гуляют по просторам рунета. Смотри сам - в этом посте я писал о появившемся вирусе этого типа, а теперь сравни два отчёта по этому вирусу с Virustotal-а: прежний от 22.06.2009 и нынешний от 02.07.2009 - как видишь, NOD32 до сих пор его не обнаруживает.