windows заблокирован

**Titov** · 06.06.2011, 16:47

Здравствуйте, Проблема с таким баннером. В автозагрузке его нет. Антивирусы в live cd его не находят, avz и avp tool тоже его не находят. Блокирует все, но путем некоторых манипуляций удается запустить диспетчер задач и даже выполнить explprer.exe, но не надолго банер появляется через 3-5 сек. к этому баннеру код не подбирается

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.06.2011, 16:48

Уважаемый(ая) Titov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Titov** · 06.06.2011, 16:53

Дело происходит на нетбуке, интернета на нем нет. Использую здоровый комп

**thyrex** · 06.06.2011, 21:46

Логи с LiveCD бесполезны

Картинку блокировщика сфотографируйте, выложите на обменник и пришлите ссылку

**Titov** · 06.06.2011, 22:24

Пока ждал ответа, попробовал с live cd программу TrojanRemover. во вложениях фото, на что он поругался. Потом попросил перезагрузки. Перезагрузил. Сам баннер как таковой не показывается, но нет и рабочего стола, просто фоновая картинка. теперь даже диспетчер не открывается.

Сам баннер точно такой же, только номер билайна другой:
http://yes73.ru/download/download.ph...34971efa2f9ab7
А вот то, на что ругался TR:
http://yes73.ru/download/download.ph...6ddb54f9a1e6c2

http://yes73.ru/download/download.ph...c58ca030d1b986

**thyrex** · 06.06.2011, 22:27

1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP – версия 2005 (5.0), для Vista – версия 2007 (6.0), для Windows 7 – версия 2009 (6.5)), запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Значения этих параметров напишите в своем сообщении

**Titov** · 06.06.2011, 23:26

erd 2005 есть в том live cd. параметр shell: EXPLORER.EXE параметр userinit: userinit

**Acidorum** · 06.06.2011, 23:45

Здравствуйте!

Сообщение от Titov

параметр userinit: userinit

Пожалуйста, напишите подробнее - значение параметра именно такое?

**Titov** · 07.06.2011, 00:15

именно такие...

Добавлено через 1 минуту

возможно это из-за того что я загрузился с live cd? И причем когда их меняешь, после перезагрузки они снова как были

Добавлено через 23 минуты

Прошу прощения, но я кажется запутался... Сделал еще один ERD (он уже один, без лайв сд) так этот редактор реестра показывает следующее:
shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,

Добавлено через 19 секунд

Прошу прощения, но я кажется запутался... Сделал еще один ERD (он уже один, без лайв сд) так этот редактор реестра показывает следующее:
shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,

**Acidorum** · 07.06.2011, 00:24

Сообщение от Titov

shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,

Это явно параметры от LiveCD.
Подгрузите куст SOFTWARE (Откройте редактор реестра, File->Load Hive (Файл->Загрузить куст)) из папки

Код:

<диск с заблокированой ОС>:\WINDOWS\System32\config

Затем сообщите значение параметров, которые даны в посте от thyrex выше.

**Titov** · 07.06.2011, 00:25

брррррр.... я понятия не имею че за реестры он тут мне показывает... они везде разные((( после перезагрузки все остаются такие какие были, как будто ничего не менял

**Acidorum** · 07.06.2011, 00:29

Нажмите на ссылку "Подгрузите куст SOFTWARE" - там все подробно описано, со скриншотами.

**Titov** · 07.06.2011, 00:37

тааааак... куст загрузил shell: explorer.exe
userinit: C:\windows\system32\drivers\system32.exe

**Acidorum** · 07.06.2011, 00:38

О, теперь нашли зловреда.
Измените значение параметра

Код:

Userinit

на

Код:

C:\WINDOWS\system32\userinit.exe,

И попытайтесь загрузится с блокированной системы.

**Titov** · 07.06.2011, 00:48

загрузились. Выдал ошибку: Windows не удалось найти С:\documents and settings\1\application data\simply super software\trojan remover\rmvtrjan.exe Проверьте правильность... бла бла..

Добавлено через 51 секунду

АААААААААААА... золотые вы мои.... загрузился!!!!!!

**Acidorum** · 07.06.2011, 00:49

В системе можно работать? Полностью загрузилась?
Если да, то делайте логи по правилам.

**Titov** · 07.06.2011, 01:29

вот логи... 20минут делал(((

**thyrex** · 07.06.2011, 02:00

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\config\svchost.exe','');
 DeleteFile('C:\Program Files\VPets\VPets.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
 DeleteFile('C:\WINDOWS\system32\config\svchost.exe');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
DeleteFileMask('C:\VPets', '*.*', true);
DeleteDirectory('C:\VPets');
DeleteFileMask('D:\VPets', '*.*', true);
DeleteDirectory('D:\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

windows заблокирован (заявка № 103159)

Опции темы

windows заблокирован

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Заблокирован WINDOWS

Заблокирован Windows

WINDOWS Заблокирован

Windows Заблокирован!

Windows заблокирован

Ваши права в разделе