Вирус помогите
востанови ранее сохраненную точку виндоус - это поможет
Если это баннерный вирус-вымогатель последнего поколения, то ни попытки восстановления системы, ни вход в безопасном режиме не помогут. Поиск кода разблокировки – тоже бесполезное занятие, т. к. его вообще не существует.
К сожалению, автор, обратившись за помощью, не пожелал подробно описать проблему, из-за чего сложно определить алгоритм дальнейших действий.
I
Ikar_x
Если вирус рабочий стол не полностью закрывает он лечится легко и просто, схема такая:
1. Качаем диспетчер процессов. Например ProcessExplorer
2. Ищем в процессах (левый столбик) процесс вируса. Если это ProcessExplorer то сверху идут системный процессы, начиная со строчки explorer.exe пользовательские.
3. Смотрим откуда запускался процесс (правой кнопкой на процессе - Properties - там ищем пункт Path это и есть адрес файла, который его запускает).
4. Убиваем процесс вируса. (правой кнопкой на процессе - Kill Process).
5. Находим само тело вируса, по адресу из п.3 и удаляем его (иначе при перезагрузке вирус выскочит снова).
Если будут сомнения какой из процессов относится к вирусу, то сделайте скрин ProcessExplorer и скиньте сюда.
После удаления вируса лучше скачать утилиту avz с сайта http://z-oleg.com/secur/avz/
Там заходим в Файл - Восстановление системы, и восстанавливаем то что нарушено. (Обычно диспетчер задач)
Только в таком алгоритме происходит полное удаление вируса (так-то лучше конечно ещё ключ реестра почистить откуда он запускается, но туда лучше не лазить непосвящённым). При введении кода разблокировки вирус в системе чаще всего физически остаётся.
Если все-таки есть желание удалить из реестра, запускаем реестр (win+R, там вводим regedit нажимаем enter), в реестре Правка-Найти туда копируем путь к вирусу, который мы нашли в п.3
Он найдёт ключ, который запускает вирус. Если в ключе прописан только этот путь, то удаляем ключ реестра полностью. Если кроме пути к вирусу прописано ещё что-то, то удаляем только путь к вирусу (вирус может присоединятся к ключам запуска системных утилит, например к ключу запуска explorer.exe - то есть проводника и рабочего стола) .
Дык вирусы последнего поколения обычно всё что можно закрывают)) Автор бы не смог просто ничего написать с этого компа... А тут за баннером можно работать, значит не всё так уж и плохо))
Я такие вирусы лечил именно по приведённой выше программе. Это намного проще чем через LiveCD.
[Сообщение изменено пользователем 06.06.2011 02:23]
1. Качаем диспетчер процессов. Например ProcessExplorer
2. Ищем в процессах (левый столбик) процесс вируса. Если это ProcessExplorer то сверху идут системный процессы, начиная со строчки explorer.exe пользовательские.
3. Смотрим откуда запускался процесс (правой кнопкой на процессе - Properties - там ищем пункт Path это и есть адрес файла, который его запускает).
4. Убиваем процесс вируса. (правой кнопкой на процессе - Kill Process).
5. Находим само тело вируса, по адресу из п.3 и удаляем его (иначе при перезагрузке вирус выскочит снова).
Если будут сомнения какой из процессов относится к вирусу, то сделайте скрин ProcessExplorer и скиньте сюда.
После удаления вируса лучше скачать утилиту avz с сайта http://z-oleg.com/secur/avz/
Там заходим в Файл - Восстановление системы, и восстанавливаем то что нарушено. (Обычно диспетчер задач)
Только в таком алгоритме происходит полное удаление вируса (так-то лучше конечно ещё ключ реестра почистить откуда он запускается, но туда лучше не лазить непосвящённым). При введении кода разблокировки вирус в системе чаще всего физически остаётся.
Если все-таки есть желание удалить из реестра, запускаем реестр (win+R, там вводим regedit нажимаем enter), в реестре Правка-Найти туда копируем путь к вирусу, который мы нашли в п.3
Он найдёт ключ, который запускает вирус. Если в ключе прописан только этот путь, то удаляем ключ реестра полностью. Если кроме пути к вирусу прописано ещё что-то, то удаляем только путь к вирусу (вирус может присоединятся к ключам запуска системных утилит, например к ключу запуска explorer.exe - то есть проводника и рабочего стола) .
Если это баннерный вирус-вымогатель последнего поколения, то ни попытки восстановления системы, ни вход в безопасном режиме не помогут. Поиск кода разблокировки – тоже бесполезное занятие, т. к. его вообще не существует.
Дык вирусы последнего поколения обычно всё что можно закрывают)) Автор бы не смог просто ничего написать с этого компа... А тут за баннером можно работать, значит не всё так уж и плохо))
Я такие вирусы лечил именно по приведённой выше программе. Это намного проще чем через LiveCD.
[Сообщение изменено пользователем 06.06.2011 02:23]
z
zhora_
а у меня вообще было тут на ноутбуке недавно такое:
сразу после включения до загрузки винды - высвечивалось ввести код
пробывал через рекавери...ниче не помогло...вирус на диске Д оказался и запускался....хоть че заставься ....пришлось с флехи хр ставить с нуля!
сразу после включения до загрузки винды - высвечивалось ввести код
пробывал через рекавери...ниче не помогло...вирус на диске Д оказался и запускался....хоть че заставься ....пришлось с флехи хр ставить с нуля!
I
Ikar_x
пробывал через рекавери...ниче не помогло...вирус на диске Д оказался и запускался....хоть че заставься ....пришлось с флехи хр ставить с нуля
Аха, тоже похожий случай был, вирус раскопировался по всем дискам, прописался где только можно. Вроде всё чистишь, а он снова появляется.
В результате сделал ну совсем по-тупому: устроил поиск через LiveCD поиск по маске *.exe всех файлов созданных за последнюю неделю, удалил эти файлы, ну и потом снова чистил в реестре ключи запуска к вышенайденным файлам.
В результате вирус все-таки сдох. Но винда стала глючить, проводник вылетать стал постоянно (на предмет подмены отладчика explorer.exe смотрел - нифига). Так что пришлось все-равно винду ставить. Но хотя бы радует то, что вирус добил
N
Nemus
хотел скачать фильм для жены и ....
Хотели сказать скачать фильм заместитель жены.
n
n0_name
убрали баннер?
как только началась эта волна баннеров
так юзеры когда звали шибко стеснялись:
мы толко почту смотрели и тут хоп на весь экран большая опа
как только началась эта волна баннеров
так юзеры когда звали шибко стеснялись:
мы толко почту смотрели и тут хоп на весь экран большая опа
O
Otool_
Раз компьютер не загрузить с жесткого диска, то мы будем грузить его с CD, благо есть дистрибутивы загрузочных дисков Windows XP, которые позволяют грузится с себя напрямую. И так, что делаем:
· Берем другой компьютер, флешку и диск.
· Скачиваем вот этот архив (http://sonikelf.ru/wp-content/uploads/2009/distr/s... Распаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
· Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скаченный образ на диске, выставляем скорость записи и ждем окончания записи.
· Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
· После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
· Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, – тогда откройте мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, – во второй раз откажитесь, если все уже проделали.
· В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, – в окне редактора они слева). Одни, – это текущие, т.е. той системы в которой мы сейчас находимся, а другие, – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
· И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой, после чего справа появляется список настроек этого раздела. Там должна быть строка shell где вместо того, что там указано надо написать (два раза щелкнув по настройке мышкой) ничто иное как explorer.exe. Так же там есть строка userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если конечно папка с системой на диске C, если же нет, то укажите свою букву диска). Внимание! Эта строка должна заканчиваться запятой! Так же внимательно просмотрите все другие строчки на предмет наличия левых путей, ведущих не в систему.
· Далее мы открываем Мой компьютер и идем в папку с системой, а именно в windows/system и там ищем user32.exe. Его может и не быть, но если находим – удаляем. Затем смотрим корневые разделы дисков (открываем диск С, диск D если есть и т.д. – все диски что у вас есть) и удаляем оттуда файлы autorun.inf и любые файлы с расширением .exe. После этого загружаем dr.web cureit и проверяем зараженную систему.
· Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.
· Обязательно сканируемся на вирусы хорошим антивирусом.
· Если Windows таки не загрузился вообще, то пытаемся перегрузиться в безопасном режиме.
На случай, если не работает диспетчер задач:
· Скачиваем avz.
· Распаковываем архив, запускаем программу.
· В окне программы выбираем “Файл” – “Восстановление системы”
· Ставим галочку “Разблокировка диспетчера задач” и давим в кнопочку “Выполнить отмеченные операции“.
· Закрываем программу, пробуем запустить диспетчер задач.
[Сообщение изменено пользователем 06.06.2011 12:46]
· Берем другой компьютер, флешку и диск.
· Скачиваем вот этот архив (http://sonikelf.ru/wp-content/uploads/2009/distr/s... Распаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
· Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скаченный образ на диске, выставляем скорость записи и ждем окончания записи.
· Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
· После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
· Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, – тогда откройте мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, – во второй раз откажитесь, если все уже проделали.
· В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, – в окне редактора они слева). Одни, – это текущие, т.е. той системы в которой мы сейчас находимся, а другие, – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
· И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой, после чего справа появляется список настроек этого раздела. Там должна быть строка shell где вместо того, что там указано надо написать (два раза щелкнув по настройке мышкой) ничто иное как explorer.exe. Так же там есть строка userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если конечно папка с системой на диске C, если же нет, то укажите свою букву диска). Внимание! Эта строка должна заканчиваться запятой! Так же внимательно просмотрите все другие строчки на предмет наличия левых путей, ведущих не в систему.
· Далее мы открываем Мой компьютер и идем в папку с системой, а именно в windows/system и там ищем user32.exe. Его может и не быть, но если находим – удаляем. Затем смотрим корневые разделы дисков (открываем диск С, диск D если есть и т.д. – все диски что у вас есть) и удаляем оттуда файлы autorun.inf и любые файлы с расширением .exe. После этого загружаем dr.web cureit и проверяем зараженную систему.
· Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.
· Обязательно сканируемся на вирусы хорошим антивирусом.
· Если Windows таки не загрузился вообще, то пытаемся перегрузиться в безопасном режиме.
На случай, если не работает диспетчер задач:
· Скачиваем avz.
· Распаковываем архив, запускаем программу.
· В окне программы выбираем “Файл” – “Восстановление системы”
· Ставим галочку “Разблокировка диспетчера задач” и давим в кнопочку “Выполнить отмеченные операции“.
· Закрываем программу, пробуем запустить диспетчер задач.
[Сообщение изменено пользователем 06.06.2011 12:46]
У
УМ0007
Если есть какой-нибудь "смотритель процессов", то остановить процесс через консоль администратора и выкинуть нафег вымогателя.
Во всех приличных "вотчерах" есть.
Например, в KAV.
Во всех приличных "вотчерах" есть.
Например, в KAV.
x
-xулиган-
Помогите пожалуйста,посмотрите какой код надо ввести,а то не даёт посмотреть этот долбаный баннер,просит отправить смс на номер 89897520724
В IE Сервис --> Настройки обозревателя удали лишний ява аплет и никакие коды не понадобятся
Q
Ququmber
У меня уже из-за банера месяц комп не робит. Окно на рабочем столе, кроме букв ни одна кнопка не робит, указателя мыши тоже нет.
Но винда стала глючить, проводник вылетать стал постоянно (на предмет подмены отладчика explorer.exe смотрел - нифига). Так что пришлось все-равно винду ставить.
Так надо было просто у какого-нить донора взять этот «explorer.exe», да и впихнуть вместо своего поврежденного. В моей инструкции, кстати, говорится об этом.
05 Июня 2011 22:30
в последнем поколении вирусов не работает.
У меня уже из-за банера месяц комп не робит. Окно на рабочем столе, кроме букв ни одна кнопка не робит, указателя
мыши тоже нет.
Вы хвастаетесь или что?
e
esha m
нажимаете кнопочку с флажочком внизу (WIN) и кнопочку U, в выпрыгнувшем окошке в поиске доходите до диска С -если у вас там винда установлена. Там ищете папку AppData или соседнюю -вот там и сидит вирус, файл с расширением exe и названием примерно ССММ66, ну что-то в этом роде или еще как-нибудь,
физически удаляете. у меня они физически не удалялись, я их тупо переименовала, после перезгрузки удалились. и-вуаля -у вас баннер пропал!
потом ищете внятную инструкцию по удалению следов вируса на дисках и в реестре и чистите комп свежим антивирусником.
если актуально будет -дома посмотрю, скажу ссылку.
потом ищете внятную инструкцию по удалению следов вируса на дисках и в реестре и чистите комп свежим антивирусником.
если актуально будет -дома посмотрю, скажу ссылку.
e
esha m
в безопасном режиме даже не пробуйте-не даст, кодов разблокировки ни у кого еще нет для этого трояна
Q
Ququmber
Да пробовал уже всякие режимы :-)
Обсуждение этой темы закрыто модератором форума.