Для обычного пользователя, если нет возможности воспользоваться услугами специалиста, наверно только это можно порекомендовать:Сообщение от Mikael
Винду переустанавливать не хочу.... с чего мне начать? подскажите пожалуйста для двоечника!
http://www.freedrweb.com/livecd
Но если этого зловреда в базе DrWeb'a еще нет, то не поможет.
I am not young enough to know everything...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В любом случае поможет это! http://helpme.virusinfo.info/
Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html
Разумеется, но если я правильно понял, там вообще нет возможности что-либо запустить, ни в нормальном, ни в безопасном режиме.
I am not young enough to know everything...
Я так думаю, что эта табличка на черном фоне? У меня друган делал наподобие для соседа по комнате, чтобы тот не лазил в комп. Просто щелкни мышкой в правом верхнем углу, где закрываются окна программ!!!!!
Для справки:
Если окно стилизовано под bsod, то оно вызывается программой, которая прописывает себя в реестр как ekzabc и часто именуется svhgost.exe
Если окно просит отправить SMS 3649 и такое голубенькое, это предлагается установить на порносайте как информер. Прописывается в Userinit, blocker.exe либо *.tmp какой-то
Есть предложение, написать, как подобные "активаторы" стартуют, чтобы можно их было прибить при помощи Live-CD. Например, если эта дрянь прописывается через Shell (AutoRun), то можно сделать так:
1) Копируем полиморфный AVZ на жёсткий диск заражённого компа из-под Live-CD
2) редактируем реестр, вместо вируса в SHELL прописываем запуск переименованного AVZ в режиме AVZ GUARD.
Сам эту последовательность не пробовал, привожу в качестве идеи.
3) Может имеет смысл в AVZ сделать проверку автозапуска не у запущенной системы, а у неактивной. Это полезно при запуске с Live-CD, чтобы проверять не сидюк, а систему на жёстком диске заражённого компьютера. Ну или хотя бы дать список ключей в реестре, где можно прописать автозапуск (в т.ч. и в Safe Mode).
P.S. В AVZ нет возможности все ключи посмотреть, возникает ошибка Out of Range если ключ длинный.
Последний раз редактировалось nisome; 12.04.2009 в 18:23.
А почему бы сразу "explorer.exe" не прописать?
Вроде надо в safe mode с командной строкой.
Поищи на этом форуме
Еще инфа
------------------------
При заражении машины, файлы blocker.exe и blocker.bin, копируется в директорию C:\Documents and Settings\All Users\Application Data, а также меняет в
разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon с параметра "Userinit"
"C:\\WINDOWS\\system32\\userinit.exe"
на
C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ ALLUSE~1\\APPLIC~1\\blocker.exe"
зы. а вообще полезно иметь на компе две установленных винды.
Последний раз редактировалось diakin; 14.04.2009 в 11:45.
WBR, Andrew
Safe Mode не поможет, а файл может быть *.tmp и *.bin рядом. Прописывается туда.
Вирь назад откатит. Часто вирусы одним запущенным модулем не ограничиваются, а в моём варианте сможем 1) не дать запуститься остальным модулям (тем, что после shell запускаются) и 2)остальное прибить, да и из AVZ можно в конце лечения explorer прописать.А почему бы сразу "explorer.exe" не прописать?
Добавлено через 1 минуту
Кстати, может кто знает, а что будет, если AVZ в Userinit временно прописать? И в добавок с AVZ GUARD...
Последний раз редактировалось nisome; 14.04.2009 в 16:10. Причина: Добавлено
Здравствуйте всем!
Поймала "Активацию WINDOWS" 10 апреля. Первое - паника. И желание скорее получить код разблокировки. Слава Богу, вспомнила, что есть у кого спросить - что бы это значило. Поэтому мой совет: два-три часа ничего не решают (как правило), а умные люди среди знакомых есть у каждого. Пролечили со здорового ноутбука. А успокоиться помог этот чудесный сайт
СПАСИБО!
И успела отговорить человека от SMS. Кстати, можно представить, скольких некому было отговорить!
У одногруппника была такая проблема с блокировкой. Говорит на музыкальном сайте схватил :-) . У человека антивируса нет никакого. ПК и без этого работал у него крайне не стабильно.
Ctrl - Alt - Del - не помогали даже в безопасном режиме.
SMS - конечно, отправлять он не стал.
Проблема решилась неожиданно и самостоятельно.
На утро, при очередной перезагрузке сообщение пропало.... И больше не появлялось...
Читайте тут
Клуб любителей Symantec - http://symantecclub.ru/
название хорошее )))
Kaspersky 4.0.2.24 2007.09.15 Trojan.Win32.Sovest.q
люди, с такой ситуацией столкнулась моя знакомая, ну я покопавшись в сети понял несколько вещей:
1) есть несколько разновидностей этой гадости
2)действуют они так же немного по разному, но схоже!
во первых это обязательная блокировка винды и сообщение об оплате каким-либо способом!
во вторых у некоторых в безопасном режиме вирус даёт запустить диспетчер задачь, а у какого-то вируса такой шалости нет!
лично я девушке посоветовал провериться такой прогой как ad-aware(простая и понятная прога для полных чайников, когда нет времени досканально им обьяснять что лучше google и рук к нужному месту пришитых нет), после чего у моей знакомой появилась возможность увидеть диспетчер задачь...
ну адальше осталось решить эту проблему уже приложив усилия самостоятельно
3) некоторые версии этой гадости испаряються как то сами спустя определённое время(зависит от таймера встроенногов этот вирус), что самое непонятное разные антивири не всегда этот вирус определяют, как во время его действия(блока системы), так и после, и что он(вирус) за собой оставляет, пока я не увидел ни одного отзыва по этому поводу! все обычно радуються тому что сообщение пропало само по себе и не задумываються над простыми вопросами "от куда взялось?", "где залегло?", и "что оставило после себя?"!!!
кто найдёт какую либо инфу отпишитесь, а то очень интересно что же это такое с ним происходит после того как он востанавливает доступ сам по себе!
не верю я в вирусы которые уходят сами по себе! :[
Добавлено через 11 минут
кстати вот наглядный пример ещё одного окошка с просьбой активации через смс!
что в обычном что в безопасном режиме выскакивает это самое окно и мешает работать, в безопаном режиме хоть более менее получаеться а в обычном житья нет совсем!(всё со слов знакомой)
Последний раз редактировалось MSD; 26.05.2009 в 04:29. Причина: Добавлено
Если таймер в вирусе стоит, то часы крутим на несколько лет вперёд или назад.
какя понял таймер не везде и он просто смотрит на время, тоесть прошло нужное кол-во часов и тогда вирус отрубается!
тоесть принцип совершенно иной нежели к примеру в "чернобыле"!
А бывает, что антивирь не срабатывает, потому что вируса-то давно нет, а есть только его последствия. В реестре уже нагажено, и сам виновник уже и не нужен.
P.S. В Чернобыле замечательный принцип, надо сказать. Наглядное пособие для демонстрации нужности антивируса как явления
У меня вчера тоже вылезло такое окошко: Windows заблокирована, отправьте СМС, введите код,как то так.
Я справился так: Перезапустил Винду в безопасном режиме. С командной строки ввел msconfig - Глянул в автозагрузки - Там хоть и много че для меня незнакомо и непонятно, но 1 приложение сразу вызвало подозрение, т.к. запускалось оно не из папок Windows или Program files, а отсюда: C:\Documents and Settings\Username\Application Data\yofie.exe
Я отключил его с автозапуска и смог нормально зайти в систему. Далее провел полную проверку системы сначала NOD32, потом бесплатной утилитой Dr.Web и наконец утилитой AVZ, все они показали, что комп у меня абсолютно чист. Поэтому я удалил вручную этот файл
C:\Documents and Settings\Username\Application Data\yofie.exe
Вроде все нормально работает. Но хотеловь бы узнать почему Антивирусы никак не реагируют?
А вот что бы антивирусы реагировали, надо было не удалять этот файл, а прислать его на анализ.
Ваши права в разделе
Ответить с цитированием
