здравтсвуйте на рабочем столе при загрузке возникает блокируещее все обявление . Текст про просмотр педофилии требование выслать 500 руб. Ничего сделать нельзя. Прошу помочь.
здравтсвуйте на рабочем столе при загрузке возникает блокируещее все обявление . Текст про просмотр педофилии требование выслать 500 руб. Ничего сделать нельзя. Прошу помочь.
Уважаемый(ая) PEPPER, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В реестр можно зайти с помощью alkid live cd
правка параметров winlogol shell не помогает
Блокировка появляется до логотипа Windows или после?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После логотипа.Загружается рабочий стол какое то время даже можно сделать какие то манипуляции и накрывает все баннером.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Shell - Explorer.exe
Userinit - userinit
в safe mode грузится ? если да попробуйте сделать логи
нет. при загрузке безопаснного режима перезагружается.
Попробуйте безопасный режим с поддержкой коммандной строки. explorer - ввод - проводник.
Paula rhei.
Поддержать проект можно тут
Безопасный режим не щагружается нив каком виде. сразу происходит перезагрузка.
Добавлено через 2 минуты
Визуально стилистика баннера похожа на такую как на ссылке
http://foto.mail.ru/mail/mrbelyash/WinLock/152.html#
Последний раз редактировалось PEPPER; 31.08.2011 в 18:27. Причина: Добавлено
с LIVE CD.
Исправляйте параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано [тут буква вашего диска должна быть и путь к системе] C:\WINDOWS\system32\userinit.exe,) (включая запятую!).
Пробуйте стартовать в проблемной системе
Paula rhei.
Поддержать проект можно тут
Без изменений
Как-то очень шустро проверили и поправили параметры.
Ну да ладно.
Посмотрите другие ключи реестра, где может быть блокер в этой статье:
http://wiki.drweb.com/index.php/Userinit
если обнаружите что-то подозрительное, сообщите тут.
Paula rhei.
Поддержать проект можно тут
просто раньше уже в других темах смотрел исправлял. При этом значение параметра userinit после перезагрузки снова становится не прописанным адресом а значением userinit
В строке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run rjl indicdll прописано shellexecute.exe /h run-indicdll.cmd
Строка HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet] rundll32 shell32,control_Rundll "sysdm.cpl"
В строках HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{xxxxx-xx-xx-xx-xxxxx}] в StubPath прописан путь к файлу shmgrate.exe
Вот все что вызвало подозрение
Это скорее параметры самого Live CD
I этап (выполняется на чистой от вирусов машине)
1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении
– посмотрите в реестре в ветках HKEY_LOCAL_MACHINE и HKEY_USERS (это ветка профилей пользователей) все возможные параметры Run (поиском в реестре) на наличие неизвестных и подозрительных записей
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Там оказывается 2 папки Winlogon и winlogon
папка winlogon которой не видел прежде параметр shell значение "Explorer.exe, С:\Program files\Common files\itunes\itunes.exe"
в другой папке параметры userinit и shell соответствуют действительности
D:\Windows\system32\userinit.exe и Explorer.exe
Кроме того в папке Winlogon появился параметр usrint значение D:\Windows\system32\ykzoxl.exe - точно что то не то.
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темыКод:С:\Program files\Common files\itunes\itunes.exe D:\Windows\system32\ykzoxl.exe
Удалите, только не перепутайте - именно ту, что с маленькой буквы и единственным параметром shell
Удалите этот параметр
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл закачал. Ykzoxl.exe по адресу не оказалось. возможно старый вирус оставшийся в реестре.
Добавлено через 39 минут
Еще из найденного в Run
параметр 0.7109кучацифр.exe отправлю файл в карантин
Добавлено через 1 час 1 минуту
Закачал. второй файл. уверен что все дело в нем.
Последний раз редактировалось PEPPER; 05.09.2011 в 15:15. Причина: Добавлено
Уважаемый(ая) PEPPER, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.