Сегодня изгонял еще один вирус
Уже знакомый дизайн – но просил 120 грн, на этот раз удаление вируса производил без LiveCD, т.к. привод был неисправен.
Дизайн баннера выглядит как в статьях /blog/95 и /blog/91, только просит вирус 120 грн на вебмани, и так же заблокировал работу заменой explorer и заблокировал запуск диспетчера задач.
С таким текстом:
Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации программного обеспечения корпорации Microsoft. По вышеизложенным причинам функционирование системы было приостановлено.
Для разблокировки Windows необходимо оплатить штраф в размере 120 грн!
1) Найдите ближайший терминал оплаты сотовой связи, например iBox.
2) Перейдите на вкладку "Електронные деньги" (может отличаться)
3) Перейдите на вкладку "WebMoney", далее вводим номер кошелька: U294667234996
4) Внести вышеуказанную сумму и нажать "Оплата"
После оплаты на выданном Вам чеке будет находиться код разблокировки.
Код следует ввести в расположенном ниже поле.
Убедительная просьба: после активации системы, воздержаться от повторения действий, противоречащих закону, а также правилам эксплуатации ОС Windows.
Внимание! Если в течении 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows будут безвозвратно удалены! Попытка переустановить систему приведет к нарушениям работы компьютера.
На этот раз я лечил без ливсиди, а через безопасный режим, но не простой, а с поддержкой командной строки.
Для этого при загрузке виндовса зажимаем клавишу F8, пока не появится предложение выбора варианта загрузки. Выбираем «Безопасный режим с поддержкой командной строки» - потому что в обычном безопасном режиме автоматически стартанет и вирус.
После загрузки вводим команду regedit – вызываем редактор реестра.
Находим ключ Shell вразделе HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Меняем значение на explorer.exe
Так же лечим диспетчер задач
Этот вирус по virustotal на 9 октября 2011 определяется в 10 из 43.
Eset Nod определяет его как модифицированный Win32/Kryptik.TSO троянская программа
Мораль: следите за состоянием обновления антивирусника прежде чем лезть на порнушные разнообразные сайты
Если с ЛивСИДИ грузится. Нужно подгужать куст реестра от старой винды, редактировать и выгружать?
Очень срочно жду ответа, спасибо! )
Если с ЛивСИДИ то естественно надо подгрузить реестр от старой винды. На ливсиди от simplix там оно автоматом все подключает.
Но если пустит в безопасный режим, то проблем нет, regedit откроет непосредственно реестр текущей, зараженной винды.
есть другой способ (сегодня делал у знакомого):
- во время загрузки нажать F8, зайти в безопасном режиме с поддержкой командной строки
- ввести: %systemroot%system32
estore
strui.exe
- выбрать точку отката системы (до заражения)
- ну а потом просканировать систему последней версией DrWeb-СureIt
И главное: завязывайте с порнухой (плохое зрение, волосатые ладони, чувство собственной ущербности- оно вам надо?)
Вчера мне бы помогла Ваша статья. В гугле искал так и не нашел ответа, полдня убил.
Сам докумекал про восстановление системы и написал статью с картинками, может кому будет полезным:
http://www.nofaq.net/2011/12/windows-заблокирован/
Сама на днях такой же баннер поймала. а хотела оперу обновить (всплывающее окно выскочило). Помогла инструкция по этой ссылке http://www.evgeniystepanov.ru/microsoft-security-essentials.php
доброго времени суток!
у меня окно имеет несколько другой вид. удалить прописанными способами не получается... точней, получается до половины - не могу "вылечить" диспетчер задач. нету там disableTaskMgr.
есть куча всякого другого барахла:
dontdisplaylastusername
NoInternetOpenWith
shutdownwithoutlogon
undockwithoutlogon
я не разбираюсь в этом... помогите пожалуйста, подскажите что делать?
Евгения возможно ваша модификация вируса не блокировала диспетчер задач. Попробуйте загрузиться в нормальном режиме и проверить.
Если же он все таки заблокирован то нужно внимательно проверить путь к ветке реестра.
Скачивал с яндекс видео уроки английского языка, когда потцепил эту бороду... Пойду пробовать лечить...
я сделал все как сказано но при открытии Shell в страке значение уже было explorer.exe
и нету файла disable TaskMgr
подскажите что делать пожалуйста очень буду признателен!
Проверьте файл userinit.exe в папке Windows/system32/
еще почитайте здесь http://ellexdev.com/blog/90
Спасибо большое но на сайте что вы мне дали нечего не понял и там проблема не совсем такая как у меня.
Может что то еще сможете посоветовать?
Саша возможно у вас какая то другая модификация вируса, но обычно вирус подменяет userinit и/или explorer.exe. Причем может быть подмена как самого файла, так и подмена вызова этих файлов в реестре.
Попробуйте еще раз внимательно пройти по ветке реестра и проверить значения ключей.
Если они впорядке, тогда попробуйте заменить файлы с другого рабочего компьютера.
(ключ вызывающий userinit находится по тому же пути где и ключ Shell - HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и так и называется: Userinit
если это происходит до входа в винду в биосе ставим дату на год вперед перезагружаем и все поехали.
а на сто меняем значение
Сергей на скриншотах правильные значения ключей
так на скринах не видно
Скрины увеличиваются вообщето, или вы с телефона смотрите?
В общем в Shell - explorer.exe
в DisableTaskManager - 0 (или удалить ключ равноценно)
http://kubanparadise.com/windows-zablokirovan-microsoft-security-essentials.html - вот эта ссылка очень помогла.
У меня файл назывался ms.exe
А я вобщем не смог так зайти только через режим отладки, но как тут написано не получается сделать. Установленный путь документ енд сетинг мешает зайти, как надо и ещё у меня 4 винды после переустановок остались благодаря корявым рукам установщиков. Рабочий комп не знаю как побороть вирус. Касперкский не нашел, пробывал запускать лицензионный диск т.к. интернета нет посоветуйте, что можно ещё сделать?
Можно попробовать через liveCD: http://ellexdev.com/blog/95
А вообще если такая фигня - лучше уж подчистую снести старые папки винды, и поставить нормально.
Верный способ вылечить недуг, без дисков, без Flash, без ковыряний в реестре - это просто встроенное в Windows система восстановления Rstrui
1. F8 при загрузке Операционной систмы
2. выбор пункта безопасный режим с поддержкой командной строки
3. вводим команду rstrui
Подробная инструкция https://sites.google.com/site/fixtoolz/instrukcii-po-kategorii/windows-xp-vista-7-server/vas-komputer-zablokirovan-za-prosmotr-kopirovanie-i-tirazirovanie-videomaterialov