Баннер, блокирующий доступ к рабочему столу компьютера на сегодняшний день уже классика. Нашими специалистами разработан алгоритм действий, следуя которому Вам помогут избавиться от баннера и восстановить работоспособность компьютера.


Пример баннера:
http://www.mediafire.com/convkey/9cc0/bss6yswo6c4be0c6g.jpg

Если ваша проблема - зашифрованные файлы, инструкции в этой теме Вам не помогут, советуем обратиться в соседнюю тему (http://virusinfo.info/showthread.php?t=120806) и поискать соответствующий код.


http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z6g.jpg

Итак, что необходимо сделать:

В первую очередь, не спешите перечислять деньги на счет мошенника.



I этап (выполняется на не зараженном компьютере)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (http://support.kaspersky.ru/faq/?qid=208638415) (около 260 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированном компьютере)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell

Значения этих параметров скопируйте.

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run

в отдельные файлы, заархивируйте их при помощи ZIP, RAR или 7-ZIP архиватора.




http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z6g.jpg

Далее необходимо создать заявку (http://virusinfo.info/showthread.php?t=121951) в нашем разделе "Помогите! (http://virusinfo.info/forumdisplay.php?f=46)". В заголовке темы коротко опишите суть проблемы, например: "Заблокирован рабочий стол: баннер с номером 9051234567".

В Ваше сообщение поместите значения параметров userinit и shell (их Вы должны были сохранить, как требовалось выше. Если этот этап был пропущен или Вы утеряли данные, повторите действия заново).

В качестве файлов-вложений прикрепите архив с экспортированными ветвями реестра, не будет лишней фотография экрана с баннером или скриншот.

Если Вы выполнили все действия правильно, в скором времени Ваш компьютер будет восстановлен.

Команда Virusinfo.


Полезные ресурсы по теме: Kaspersky Deblocker (http://sms.kaspersky.ru/) | Virusinfo Deblocker (http://virusinfo.info/deblocker/)

Не, если есть доступ к реестру, то это халява. Этот Kaspersky Registry Editor как-то ещё можно запустить (есть вторая винда на том же диске)? Сидюк - это сложно, а с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею :O

Сидюк - это сложно
И не говорите, всё время забываю, какой стороной класть компакт-диск в проигрыватель.

Да не, просто технология своё отжила. Если хочешь CDRW - это ими надо как-то специально запасаться непонятно зачем. Разумеется, никто этим не занимается. Как правило, флешка более доступна.

Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp :focus: а редактора там что-то не видно. Вот думаю, если они записались на одну флешку, можно ли касперский редактор запустить под дырвебовским линухом.

Кстати, ещё один вариант лечения, который должен пройти под любым линухом - это скопировать бекап реестра из RegBack.

Кстати, ещё один вариант лечения, который должен пройти под любым линухом - это скопировать бекап реестра из RegBack.
Если Вы напишете инструкцию, доступную большинству пользователей ПК, это будет замечательно.

Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp а редактора там что-то не видно.
У вэба есть миднайт коммандер... Доступен из графического режима (утилиты - файловый менеджер или иконкой на Р/С) и из текстового набором mc в консоли.
А смысл такой... Реестр Виндовса автоматически монтируется в файловую систему при старте доктора Вэба. Поэтому, если вы запустите mc и перейдете в корень диска, среди папок bin, etc, home и пр., вы увидите каталог reg. Это и есть тот самый подмонтированный реестр.
С самим реестром можно работать как с обычными файлами (редактировать, удалять и т.п.). Может показаться непривычным, но работает! На моё ИМХО, этого вполне достаточно :)

Плюсом к этому, у Вэба, если не ошибаюсь - в расширенном режиме, есть утилита "лечение реестра".
Она проверяет:
- модификацию файла hosts
- наличие отладчиков
- подмену диспетчера задач
- политики
- запуск сеанса пользователя
- настройки проводника и прочее-прочее-прочее :)

=========
На счет редактора от Каспера - не смотрел пока, что за зверь, знаю, что он есть. Пользоваться не доводилось...

P.S. А можно ещё пояснить вот это?

с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею

Заразился одним из этих банеров, win + D, и утилита от dr.Web помогла, но вирус изменил настройки Локальной груповой политики, а имено:
1) Редактор реестра - исправлено
2) Диспетчер задач - исправлено
3) выключение\перезагрузка (делаю через CMD)
При нажатии alt+ F4 пишет операция отменена вследствие действующих для компьютера ограничений обратитесь к администратору сети.

отправляю Вам лог отсканированый програмой МВАМ как вы и просили

уже разблокировал,но пока не знаю с помощью какой программы

- - - Добавлено - - -

пока нормально

ШИФРОВАЛЬЩИК XTBL ПЕРЕИМЕНОВАЛ ФОТО И МУЗЫКУ. НА РАБОЧЕМ СТОЛЕ ПОЯВИЛИСЬ ФАЙЛЫ README.TXT С ТЕКСТОМ

Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:
DF4FD44D54A5C8C929D3|203|2|15
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!!!!!!!!!

http://rghost.ru/8npTc9kCY

Никита Соловьев, Никита Добрый день! Я создал сегодня запрос согласно правил но до сих пор нет ни какого ответа
Тема называлась """При включенном Касперском........"
Хотел бы узнать им будут заниматься или из-за того что я написал что скаченный Dr Web нашел и убил троян и все ВРОДЕ работает -значит проблемой заниматься не будут

Рассчитываю на ответ
С Уважением Павел

ПавелЮ, Добрый день, преимущество быстрого ответа доступно только в рамках "Помогите +".