Показано с 1 по 16 из 16.

Windows заблокирован (заявка № 100950)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23

    Thumbs up Windows заблокирован

    Поймал какую-то блокировочную пакость (синий такой баннер), которая говорит, что появилась из-за того, что я смотрел гей порно (сие наглая клевета) и бесцеремонно требовает пополнить баланс какого-то номера MTC, угрожая полным экстерминатусом всей системы и БИОСа.
    Безопасный режим не загружается - логи сделать не могу.
    Спасите-помогите, пожалуйста.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    I. Зайдите в безопасном режиме (F8 ) с поддержкой коммандной строки. Выполните команду explorer, должен открыться проводник,
    и Вы сможете сделать логи по правилам.

    II. 1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    Код:
    userinit
    параметр
    Код:
    shell
    Содержимое этих параметров напишите в своем сообщении
    Исправьте через ERD Commander значение параметра shell на explorer.exe
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23
    В безопасном режиме говорю же не загружается (ни с поддержкой строки, ни без нее). Вылетает синий экран.
    Начать сразу со второго пункта ?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Цитата Сообщение от xuim Посмотреть сообщение
    Начать сразу со второго пункта ?
    конечно.
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23
    Ну вобщем я загрузился. Значение параметра Shell - Shell значение параметра Userinit - Userinit
    Несколько смущает value data параметра Shell, а именно путь:
    Код:
    С:\Documents and Settings\COMP\Desktop\null0.27998053514704924.exe
    Очевидно, "null0.27998053514704924.exe" это файл вируса.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2918
    Замените значение параметра shell на
    explorer.exe
    Пробуйте загружаться и делать логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23
    А че-то не могу я ничего менять. Поле серое и возможности редактирования нет.

    Неправильно загрузился чтоли или не ту сборку записал... Версия 5.0 этого коммандера.

    Аа нет, видимо, с правами доступа что-то не то ..

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2918
    Цитата Сообщение от xuim Посмотреть сообщение
    Аа нет, видимо, с правами доступа что-то не то ..
    Такого быть не может. Для Live CD права не нужны. Что-то Вы делаете неправильно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23
    Просто после рабочего дня я туплю (и очень сильно), а вы сразу не заметили.
    Вместо значений параметров, я написал их имена
    И их и пытался изменять (в меню редактирования значения)

    В общем теперь пишу то, что надо
    Значение параметра Shell:
    Код:
    explorer.exe "С:\Documents and Settings\LEXUS\Desktop\null0.27998053514704924.exe"
    Значение параметра Userinit:
    Код:
    C:\WINDOWS\system32\Userinit.exe,
    Изменение значения параметра Shell (удаление пути к null0.27998053514704924.exe) результата не дало. Баннер появился как ни в чем ни бывало. Загрузился повторно с диска. Значение параметра Shell вновь вернулось какое и было - с указанием пути к этому файлу на раб столе. Кстати, он виден через проводник, может удалить его ?

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2918
    Поскольку файл виден, переименуйте его, измените значение параметра и пробуйте загружаться
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23
    Логи:

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Параметр его запуска дублировался еще и в ветке HKLM\...\Run.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O4 - HKLM\..\Run: [Shell] "C:\Documents and Settings\LEXUS\Desktop\null0.27998053514704924.exe"
    O17 - HKLM\System\CS31\Services\Tcpip\Parameters: NameServer = 85.255.112.200,85.255.112.182
    O17 - HKLM\System\CS32\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS33\Services\Tcpip\Parameters: NameServer = 85.255.112.121,85.255.112.123
    O17 - HKLM\System\CS34\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS35\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS36\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS37\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS38\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS39\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS40\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    O17 - HKLM\System\CS41\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
    Больше ничего плохого не видно.

    Зловредный файл пришлите в архиве с паролем virus как карантин.
    У себя удалите.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23
    Пофиксил. Прислал.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    \null.sxe (С:\Documents and Settings\LEXUS\Desktop\null0.27998053514704924.exe ) - Backdoor.Win32.Bifrose.dupt (Trojan.Winlock.3287)
    Paula rhei.
    Поддержать проект можно тут

  16. #15
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    43
    Вес репутации
    23
    Backdoor.Win32.Bifrose.dupt (Trojan.Winlock.3287)
    Ну будем знать.
    Спасибо всем

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,558
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\null.sxe - Backdoor.Win32.Bifrose.dupt ( DrWEB: Trojan.Winlock.3287, BitDefender: Backdoor.Generic.648288, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) xuim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Заблокирован WINDOWS
      От Galaiey в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 27.05.2012, 12:06
    2. Заблокирован Windows
      От Оле_Лукойе в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.05.2012, 09:27
    3. WINDOWS Заблокирован
      От Foxtrot_1 в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 05.04.2012, 19:21
    4. Windows Заблокирован!
      От Артём95 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.01.2012, 18:19
    5. Windows заблокирован
      От orbison в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 09.01.2012, 00:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00784 seconds with 22 queries