Баннер, блокирующий доступ к рабочему столу компьютера на сегодняшний день уже классика. Нашими специалистами разработан алгоритм действий, следуя которому Вам помогут избавиться от баннера и восстановить работоспособность компьютера.
Пример баннера:
Уведомление
Если ваша проблема - зашифрованные файлы, инструкции в этой теме Вам не помогут, советуем обратиться в соседнюю тему и поискать соответствующий код.
Итак, что необходимо сделать:
В первую очередь, не спешите перечислять деньги на счет мошенника.
I этап (выполняется на не зараженном компьютере)
1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 260 Мбайт) 2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
II этап (выполняется на заблокированном компьютере)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки) 2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола 3. Запустите Kaspersky Registry Editor 4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре: ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр userinit параметр shell
Значения этих параметров скопируйте.
Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run
в отдельные файлы, заархивируйте их при помощи ZIP, RAR или 7-ZIP архиватора.
Далее необходимо создать заявку в нашем разделе "Помогите!". В заголовке темы коротко опишите суть проблемы, например: "Заблокирован рабочий стол: баннер с номером 9051234567".
В Ваше сообщение поместите значения параметров userinit и shell (их Вы должны были сохранить, как требовалось выше. Если этот этап был пропущен или Вы утеряли данные, повторите действия заново).
В качестве файлов-вложений прикрепите архив с экспортированными ветвями реестра, не будет лишней фотография экрана с баннером или скриншот.
Если Вы выполнили все действия правильно, в скором времени Ваш компьютер будет восстановлен.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не, если есть доступ к реестру, то это халява. Этот Kaspersky Registry Editor как-то ещё можно запустить (есть вторая винда на том же диске)? Сидюк - это сложно, а с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею
Да не, просто технология своё отжила. Если хочешь CDRW - это ими надо как-то специально запасаться непонятно зачем. Разумеется, никто этим не занимается. Как правило, флешка более доступна.
Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp а редактора там что-то не видно. Вот думаю, если они записались на одну флешку, можно ли касперский редактор запустить под дырвебовским линухом.
Кстати, ещё один вариант лечения, который должен пройти под любым линухом - это скопировать бекап реестра из RegBack.
Последний раз редактировалось maXmo; 08.06.2013 в 13:53.
Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp а редактора там что-то не видно.
У вэба есть миднайт коммандер... Доступен из графического режима (утилиты - файловый менеджер или иконкой на Р/С) и из текстового набором mc в консоли.
А смысл такой... Реестр Виндовса автоматически монтируется в файловую систему при старте доктора Вэба. Поэтому, если вы запустите mc и перейдете в корень диска, среди папок bin, etc, home и пр., вы увидите каталог reg. Это и есть тот самый подмонтированный реестр.
С самим реестром можно работать как с обычными файлами (редактировать, удалять и т.п.). Может показаться непривычным, но работает! На моё ИМХО, этого вполне достаточно
Плюсом к этому, у Вэба, если не ошибаюсь - в расширенном режиме, есть утилита "лечение реестра".
Она проверяет:
- модификацию файла hosts
- наличие отладчиков
- подмену диспетчера задач
- политики
- запуск сеанса пользователя
- настройки проводника и прочее-прочее-прочее
=========
На счет редактора от Каспера - не смотрел пока, что за зверь, знаю, что он есть. Пользоваться не доводилось...
P.S. А можно ещё пояснить вот это?
с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею
Последний раз редактировалось Val_Ery; 08.06.2013 в 21:41.
Причина: Добавлен ПыСы
Заразился одним из этих банеров, win + D, и утилита от dr.Web помогла, но вирус изменил настройки Локальной груповой политики, а имено:
1) Редактор реестра - исправлено
2) Диспетчер задач - исправлено 3) выключение\перезагрузка (делаю через CMD)
При нажатии alt+ F4 пишет операция отменена вследствие действующих для компьютера ограничений обратитесь к администратору сети.
Последний раз редактировалось Никита Соловьев; 23.07.2013 в 12:12.
ШИФРОВАЛЬЩИК XTBL ПЕРЕИМЕНОВАЛ ФОТО И МУЗЫКУ. НА РАБОЧЕМ СТОЛЕ ПОЯВИЛИСЬ ФАЙЛЫ README.TXT С ТЕКСТОМ
Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код: DF4FD44D54A5C8C929D3|203|2|15 на электронный адрес [email protected] или [email protected] . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Никита Соловьев, Никита Добрый день! Я создал сегодня запрос согласно правил но до сих пор нет ни какого ответа
Тема называлась """При включенном Касперском........"
Хотел бы узнать им будут заниматься или из-за того что я написал что скаченный Dr Web нашел и убил троян и все ВРОДЕ работает -значит проблемой заниматься не будут