-
Junior Member
- Вес репутации
- 50
Вирус заблокировал систему
Теперь при загрузки Виндовс ХР ,после приветствия, вылазит табличка о блокировке системы и вымогательстве денег.В безопасном режиме аналогично не могу ничего сделать,все действия практически заблокированы,диспетчер задач после вызова тоже сразу же блокируется.Пожалуйста помогите.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ТТМ, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP – версия 2005 (5.0), запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
Код:
userinit
параметр
Код:
shell
Значения этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 50
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe
Shell REG_SZ Explorer.exe
-
Посмотрите эту ветку реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
если будет подозрительное/незнакомое--удалите.
Пример:HKEY_CURRENT_USER\Software\Microsoft\Window s\CurrentVersion\Run
"s5ch0st"="C:\\WINDOWS\\temp\\as.exe
Затем пробуйте загрузиться и сделать логи.
-
-
Junior Member
- Вес репутации
- 50
Так как описано вами нет,есть так
Software\Microsoft\Windows\CurrentVersion\Internet Setting
А так же есть файл as.exe Могу выслать. 45% на virustotal.com определили этот файл,как вирус
-
-
-
Junior Member
- Вес репутации
- 50
-
ак как описано вами нет,есть так
Software\Microsoft\Windows\CurrentVersion\Internet Setting
Укажите полный путь к файлу
-
-
Junior Member
- Вес репутации
- 50
К какому?
HKEY_CURRENT_CONFIG\ Software\Microsoft\Windows\CurrentVersion\Internet Setting
as.exe -нужно удалять?
-
45% на virustotal.com определили этот файл,как вирус
Ссылку на virustotal.com можете дать?
-
-
Junior Member
- Вес репутации
- 50
-
Ок! Удаляйте файл. Пробуйте загрузиться и сделать логи.
-
-
В дополнение
Удалите в реестре папку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
В ней есть параметр Debugger со значением C:\WINDOWS\temp\as.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Файл и папку в реестре удалил.
При перезагрузке "зависает" на "Приветствие User "
При нажатии на User секундная "загрузка личных параметров" и следом "завершение сеанса"
-
Проверьте папку в реестре еще раз. Кроме того, поищите другие упоминания as.exe в реестре
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Папка была(((,снова удалил
Где искать другие?
Добавлено через 5 минут
Поиском файлов на диске С ничего не нашёл.
Последний раз редактировалось ТТМ; 13.09.2011 в 22:50.
Причина: Добавлено
-
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
Здесь поищите и здесь
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
еще
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Шапельский Александр
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
Здесь поищите и здесь
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
еще
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Уже Не вижу таких веток (((
Есть HKEY_CURRENT_CONFIG\Software\Microsoft\Windows
(Windows NT -нет)
HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\ (нет Run есть Internet Setting)
Проблема остаётся.
Баннера вымогателей нет, на Приветствии "зависает".