комп заблокирован

Скачал игру в инете.Два раза проверил НОДом.Запустил.Через 10 минут комп перезагрузился сам и выскачила надпись;комп заблокирован,заплатите 200руб на YANDEX.Могу только зайти в безопасном режиме с командной строкой.Приложить к теме ничего не могу.ПОМОГИТЕ ПОЖАЛУЙСТА!

Ваш случай? [url]http://virusinfo.info/showthread.php?t=12248[/url]

В простом безопасном заходит?

да, мой. Я там не нашёл решения проблемы. Возможнио игра с того же сайта, но не танк, а колобок. В простом безопасном тоже надпись.

как вариант, замените ntoskrnl.exe ... на чистый

А как это и где????

в windows\system32\ чистый нужно взять из дистрибутива ... в SAFE MODE как раз он и заменяется ...

Я не очень понимаю. Я могу только зайти в безопасном режиме с командной строкой. Мне там чтото написать?

приблизительно это ...
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp

...и вставить установ.диск windows xp. И он заменит этот файл на чистый. Я правильно понял? (первый "ех" без "е"?)

да ... правильно поняли.. наберите все именно так [B]ntoskrnl.ex_[/B] с нижним подчеркиванием...

установ.диск будет только в понедельник. А можно ли попробовать другие команды (откат или антивирь запустить)???

Войдите в папку [b]C:\windows\system32\drivers[/b] и удалите [b]winlogon.exe[/b].
(Не перепутайте - настоящий winlogon.exe живет в C:\windows\system32).

удалось выполнить по совету Олега З нажатие кнопок Ctrl+Alt+Del. Правда еще выскачило окно ошибка приложения taskmgr.exe .Как запустить антивирь или еще чего, может получится?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

дорогой Братец, обычным способом зайти в папку не могу. Что написать в командной строке?

[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]

Из диспетчера задач удалось запустить АВЗ. При сканирование дисков завис. Родной НОД не отключен. Сейчас попробую его запустить. Боюсь тоже зависнет.

[quote]Что написать в командной строке?[/quote]
[code]
[b]cd \windows\system32\drivers[/b][/code]
Приглашение командной строки должно принять вид:
[b]C:\windows\system32\drivers>[/b]
Далее
[code][b]
del winlogon.exe[/b][/code]

Сейчас попробую. Закончил сканировать АВЗ. НУЛЬ вирусов!

[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]

пардон, первый раз работаю в командной строке. У меня написано C:\Documents and Settings\OperZ> и это никак не стирается или мне в продолжение через пробел написать первый код?

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

можно ли в диспетчере задач удалить этот файл? И что это даст? Это и есть зловред? Я его вроде нашел.

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

УРА!!! Почти получилось! Пол дела сделано! Удалил этот ехе. Пропала табличка что комп заблокирован. Вижу раб стол, но он пуст. Нет даже кнопки пуск. Чего еще удалить???

Раз АВЗ запускается, то давайте логи по правилам.

[QUOTE=ozzik;136834]Скачал игру в инете.[/QUOTE]Пришлите ссылку на игру мне в ЛС.

пишу с телефона. Если по правилам, то я незнаю как через диспетчер задач отключить восстановление системы и антивирь. И не уверен что получится как либо прислать логи. Намекните подробненько :)

[size="1"][color="#666686"][B][I]Добавлено через 1 час 7 минут[/I][/B][/color][/size]

хотел включить консоль НОД, чтоб его выключить. Выскочило окно: ошибка при связи со службой ядра НОД. Он у меня не работает, можно логи делать?

Что то получилось. Пришлось включить интелект и применить научный метод тыка. Жду новых указаний.

Помогите вашему интеллекту ещё немного ;)Скачать последнею версию AVZ , обновить её базы и только потом заниматься исполнением логов.

... предварительно пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=C:\WINDOWS\system32\drivers\winlogon.exe
O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)
O4 - HKLM\..\Run: [systemsrvload] C:\WINDOWS\system32\drivers\winlogon.exe
[/code]

Пофиксил и о чудо, всё заработало!!!

Меня погубят скринсеверы! Остались ещё такие же и от туда же, их снести или они чистые??? Когда можно включить востановление системы?

Вы уверены, что они остались?
[code]
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\HotGirls.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\HotGirls.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\Rain.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\Rain.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\waterfalls.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\waterfalls.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\Bikini02.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\Bikini02.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\snowfalling.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\snowfalling.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

В логах чисто, только еще вот это посмотрите:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что нужно - скажите, остальное исправим.

Те 5 что обнаружили - удалиллись. Остались в той же папке другие, но с того же сайта скачаные.(удалю от греха) А второе как мне это посмотреть? Когда можно включить востановление системы?

[quote]А второе как мне это посмотреть?[/quote]
Просто скажите, что из приведенного списка вы реально используете.
А мы сделаем скрипт для отключения остального.

Восстановление уже можно включать.

Оба-на! Это самый сложный вопрос для меня в этой теме или мой мозг уже лопнул! Я не знаю. Может что то посоветуете оптимальное? P.S.а колобка этого удалить или можно теперь использовать по назначению?

[quote]Может что то посоветуете оптимальное?[/quote]
Если нет локальной сети, можно закрыть все, ну разве что автозапуск CD оставить, если к нему привыкли. При наличии локалки с доступом к файлам оставить доступ анонимного пользователя. Если используете быстрое переключение пользователей, надо оставить службу терминалов.
Колобка отправьте на анализ по адресу [email][email protected][/email] и ждите ответа.
Иначе рискуете снова попасть на все эти танцы с бубном ;)

Автозапуск СД оставить. Быстрое переключение пользователей не нужен. Инет у меня через локалку. "доступ анонимного пользователя" - это аноним у меня в файлах рыться будет?

[quote]это аноним у меня в файлах рыться будет?[/quote]
Кхм... правильнее сказать - "сейчас роется" ;)
На самом деле это значит, что если вы откроете общий доступ к какой-то папке, то этот доступ получат все пользователи сети. Если отключить анонима, то вам придется поименно указать каждого, кому разрешен доступ.
Вот скрипт, CD и анонима оставил:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Bratez - Super Bratez!!! :)

Час назад получил ответ: <<Здравствуйте. В присланном Вами файле не найдено ничего вредоносного. С уважением, Юрий Вирусный аналитик ЗАО "Лаборатория Касперского".>> Так вроде и антивирус в больном компе ничего не находил. Я им послал *ехе установочного файла. Может эта бяка вылезла когда я запустил *ехе и сейчас он чист!? Мне по фиг этот *ехе, я его удалю. Меня интересует могу ли я играть игру или готовить 200р и занимать очередь к терминалу оплаты???

Ну теперь вы знаете, как бороться с ним, можно попробовать, произойдет что-либо или нет :)

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

Но перед этим лучше сделать образ диска, с помощью того же Акрониса.

Какая имено программа Акронис? А то у меня глазки разбежались от их количества. Может в закромах ссылочка завалялась?