Никогда не подвергай сомнению чудеса, когда они происходят.
I. «После выбора пользователя происходит начало загрузки учётной записи, но запуска ОС не происходит, снова появляется окно выбора пользователя».
Причина
A. Некорректная запись в реестре (созданная вирусом) о положении файла userinit.exe
B. Повреждён или отсутствует файл «userinit.exe»
C. Повреждён файл реестра.
Решение
читать дальшеА. Загрузитесь с любого совместимого с ОС Windows LiveCD (загружаемой с CD\DVD-диска операционки), запустите редактор реестра, и подгрузите файл SOFTWARE (путь Windows\System32\config) локального реестра. Проверьте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], исправьте значение ключа "Userinit” на "C:\WINDOWS\system32\userinit.exe,".
Правка реестрагрузитесь с LiveCD (лучше ErdCommander) и меняйте файл Userinit.exe (можете взять файл с любого компа) находиться здесь C:\WINDOWS\system32\. Далее там же в LiveCD правим реестр компа (не LiveCD). Идем по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon справа находим параметр Userinit должно быть так: "Userinit"="C:\WINDOWS\system32\userinit.exe," (без кавычек, с запятой в конце), если запись отличается, то правим.
Все это можно проделать и подцепив хард к другому компу. Только при работе с реестром, надо будет "Загрузить" куст неисправной машины.
Действия:
1. Грузимся через "Безопасный режим" и входим администратором.
2. Пуск-Выполнить-regedit. В левой части дерева реестра выбираем HKEY_LOCAL_MACHINE.
3. В меню Реестр выбираем команду Загрузить куст. Откроется окно, находим папку с неисправным Windows. Далее идем по пути Windows(неисправный)\System32\config\ находим файл software шелкаем и Открыть. Выйдет окошко даем любое имя. И там правим путь Userinit.
4. В меню Реестр выбираем Выгрузить куст и выгружаем куст.
5. Выключаем комп, винт обратно цепляем на больной комп и входим под уже работающей системой.
pchelpforum.ru/f34/t28668/
B. Скопируйте с аналогичной ОС файл «userinit.exe» по вышеуказанному пути.
Обязательно проверьте системные папки (Windows, текущая учётная запись в Documents and Settings (Users для Win Vista\7), RECYCLER и System Volume Information) на наличие вирусов.
С. Загрузитесь с LiveCD, откройте диск, на котором установлена ОС (С:\). В корневой папке этого диска находится папка System Volume Information. Внутри этой папки может быть одна, или несколько папок "_restore{x...x}"; нам понадобится папка с последней по времени датой создания, остальные лучше удалить.
Внутри этого каталога располагаются другие подкаталоги, вида RPxxx (x-порядковый номер). Эти подкаталоги являются контрольными точками системы. Для восстановления мы выбираем предпоследнюю по номеру папку, а самую последнюю удаляем. Это делается для того, чтобы восстановить систему перед той датой или событием, когда была сделана последняя, возможно уже содержащую источник проблемы, контрольная точка.
Заходим внутрь выбранной папки, и далее в подпапку "snapshot". Если таковой подпапки нет, то нужно выбрать другую предыдущую контрольную точку, а эту удалить. В папке "snapshot" расположены сохранённые в виде файлов главные ветви рееста, здесь нам нужен файл "_REGISTRY_MACHINE_SYSTEM".
Открыв другое окно Проводника, следуем по пути \Windows\system32\config, и в папке "config" мы удаляем файл "system". После этого переключаемся на другое окно, и копируем файл "_REGISTRY_MACHINE_SYSTEM" в папку "config". Переименовываем скопированный файл в "system".
Далее, работу с LiveCD можно завершить, выбрав перезагрузку. После рестарта ПК нужно выбрать загрузку с жёсткого диска, и после прохождения POST нажать на клавишу F8 для выбора варианта загрузки. В появившемся меню выбираем "Загрузка последней удачной конфигурации». Важно не пропустить времени для выбора режима загрузки, иначе восстановления системы не произойдёт.
Внимание! В ряде случаев необходимо заменить не только файл System, но и Software, и, возможно, другие компоненты реестра. Если на компьютере служба восстановления была отключена, и нет ни одной точки восстановления (или их восстановление не решает проблему), то можно использовать файлы реестра по пути \Windows\Repair, который так же копируется по пути \Windows\system32\config с заменой существующего файла. После этого, ПК просто перезагружается, вызывать меню по F8 не нужно. Подобная замена приведёт ОС к первоначальному состоянию, с утерей сведений об установленных программах.
II.«После загрузки на экране нет ничего, кроме фонового рисунка и курсора мыши»
Причина
А. Работа вредоносной программы или вируса.
B. Установлен неоригинальный файл "uxtheme.dll"
Решение
читать дальшеА. Попробуйте запустить оболочку "Explorer.exe" вручную, вызвав Диспетчер задач (ALT+CTRL+DEL, затем Файл->Выполнить).
Запустите редактор реестра (regedit.exe), и осмотрите следующие ветви:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon, в параметре Shell не должно быть ничего, кроме Explorer.exe
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options в данном разделе не должно быть подраздела explorer.exe
Замените файл explorer.exe аналогичным, с рабочего ПК.
B. Замените файл "uxtheme.dll" (Windows\System32) на оригинальный, с аналогичной ОС.
Обязательно проверьте системные папки (Windows, текущая учётная запись в Documents and Settings (Users для Win Vista\7), RECYCLER и System Volume Information) на наличие вирусов
III. «Вместо окна «Приветствие», или после загрузки ОС, на экране фоновое изображение с требованием отправить sms, ввести код разблокировки и т.п.»
Причина
Работа вредоносной программы или вируса.
Решение
читать дальшеОбязательно проверьте системные папки (Windows, текущая учётная запись в Documents and Settings (Users для Win Vista\7), RECYCLER и System Volume Information) на наличие вирусов. Весьма рекомендуется пользоваться антивирусом, загрузившись с LiveCD.
Внимание! Известны случаи установки вредоносной программы по пути C:\WINDOWS\Installer\{C3F19A5F-35A8-4FDB-A6ED-0F4CE398DAFC}(значение будет другим!) . В этом случае, воспользуйтесь сторонней программой для отображения ВСЕХ установленных программ, т.к. стандартный установщик Windows не отобразит нужное. Далее, автоматически или вручную удалите вредные файлы и ссылки на них из реестра.
reshenie-problem.narod.ru/page2.html
Нужно посмотреть ветки реестра, где обычно прописывается баннер.
В первую очередь это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Здесь нужно проверить три ключа:
- ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe
- UIHost должен иметь строковое значение logonui.exe
- Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение C:\Windows\system32\userinit.exe,
Теперь проверим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp, C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_
Иногда баннер прописывается в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Значение этого ключа обычно пустое либо там прописывается антивирус.
Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.
Теперь посмотрим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке - запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.
В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exe, iexplorer.exe, userinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаем Удалить (Delete)
Еще нужно посмотреть и проверить ветки реестра HKEY_USERS\%username%\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_USERS\%username%\Software\Microsoft\Windows\ CurrentVersion\Run , где %username% - имя учетной записи Windows.
Многие модификации баннеров в последнее время вносят свои записи в файл hosts тем самым перенаправляя с популярных сайтов, например Одноклассники или ВКонтакте, на свой сервер, где ваш компьютер будет снова инфицирован. Поэтому нужно обязательно проверить файл hosts на наличие посторонних записей.
blog.fc-service.ru/virusy/porno-baner-erd.htm
WINDOWS заблокирован. Отправьте СМС на номер 3649.
Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком сложнее. Ибо о нём в интернете инфы было мало.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором»
A. Исправить ключ реестра: [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System], параметр REG_DWORD DisableTaskMgr со значением 1. Должно быть 0.
B. Отредактировать групповые политики: Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
C. Если вирус на этом не сдался, открывается поверх всех окон и прячет все, что открыто. Запускаем монитор процессов, какой нравится.
"DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска) А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было."
www.makak.ru/2009/04/29/windows-zablokirovan-ot...
remontcompa.ru/233-kak-ubrat-banner.html
wadson-nsk.ru/problems-decision/windows-blocked...
remontcompa.ru/252-kak-izbavitsya-ot-bannera.ht...
Компьютер заблокирован до загрузки Windows. Красный текст на черном фоне с требованием оплатить штраф. Эти баннеры прописываются в загрузочный сектор диска (MBR) и блокируют компьютер еще до загрузки операционной системы. Это так называемый MBR.Lock (МБР-лок).
читать дальшеУдаление баннера через консоль восстановления
Не все так страшно, как кажется. На самом деле удаление баннера MBR.lock намного проще, чем в случае с баннером на рабочем столе. Необходимо выполнить восстановление MBR (главной загрузочной записи).
Для лечения нам понадобится установочный диск Windows XP. Загружаемся с диска. Начнется загрузка необходимых для установки драйверов, после чего появится окно с выбором действий. Нажимаем клавишу R для запуска консоли восстановления Windows XP. После загрузки консоли будет задан вопрос, в какую копию Windows выполнить вход. Выбираем свою копию. Если у вас всего одна ОС, вводим 1 и нажимаем Enter.
Потребуется ввести пароль администратора. Вводим пароль и нажимаем Enter. Если пароль не стоит, то ничего не вводим, а просто нажимаем Enter. После этого выполнится вход в систему. Об этом будет свидетельствовать командная строка.
Вводим команду fixmbr и нажимаем Enter. На вопрос Подтверждаете запись новой MBR? вводим с клавиатуры в латинской раскладке y, что означает yes и нажимаем Enter.
Если появится сообщение Новая основная загрузочная запись успешно сделана, значит все прошло успешно и MBR восстановлена. Вводим команду exit и нажимаем Enter. После этого компьютер перезагрузится. Вот и все, компьютер разблокирован!
blog.fc-service.ru/virusy/banner-mbr-lock.htm
Запуск восстановления системы из командной строки %SystemRoot%\system32\restore\rstrui.exe
Невозможность выйти в интернет при помощи любого браузера или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.
читать дальше
Так пакостит Trojan.Mayachok.1 (он же Trojan.Win32.Cidox). По описаниям ресурса Dr.Web, это троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение, также заводится при запуске левых программ, скачанных с ненадежных файлообменников.
Дополнительно по функционалу - маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило, всё работает.
Вероятность исцеления антивирусом есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Лечится всё на самом деле очень просто.
Открываем редактор реестра - regedit.exe, находим ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и параметр AppInit_DLLs. Смотрим значение этого параметра.
Если видим запись, подобную этой: "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll" (кроме tvhihgf.dll имя файла может состоять из любых других латинских букв) - удаляем ее. Сам параметр AppInit_DLLs при этом оставляем, убираем только значение. Перезагружаемся
После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1. Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением ***.tmp из каталога C:\windows\system32.
Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне нужные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.
Невозможно изменить файл HOSTS
читать дальшеЧасто вирусы, которые изменяют файл hosts и не пускают на определенные сайты или, наоборот, перенаправляют на мошеннические сайты, делают уловку, которая не позволяет изменить этот файл.
I.Скрытый файл hosts
Вирус создает в системе второй файл hosts, который делает скрытым. Таким образом ОС считывает данные из обоих файлов и выполняет прописанные вирусом инструкции из скрытого файла hosts. Таким образом, при проверке "видимого" файла выявить ничего подозрительного невозможно.
Если есть подозрение на модификацию файла hosts, обязательно нужно включить доступ к скрытым папкам и файлам, а затем проверить, нет ли дублирующего файла с вирусными записями. Напомню, что файл hosts редактируется стандартным приложением Блокнот или любым текстовым редактором и располагается в папке C:\WINDOWS\system32\drivers\etc
II.Скрипт в автозагрузке
Вирусописатели - очень изобретательные люди и все время ищут новые пути маскировки. Совместно со скрытым вторым файлом hosts часто применяется такой трюк, как скрипт в автозапуске. Что же это за скрипт и как с ним боротться?
Скрипт представляет из себя набор стандартных команд Windows записанных в текстовый файл и редактируемый любым текстовым редактором, например, Блокнотом. В нашем случае чаще всего применяется скрипт, который копирует из временной папки Windows инфицированный файл hosts и делает его скрытым. Скрипт этот в основном сидит в меню Пуск - Все программы - Автозагрузка. Таким образом при каждой перезагрузке компьютера инфицированный скрытый файл hosts снова появляется в системе и создается впечатление, что файл hosts не возможно изменить.
В некоторых случаях вирусы маскируют и папку Автозагрузка. В таком случае в ней ничего не будет отображаться, даже если там сидит вирус. Необходимо включить отображение скрытых файлов и проверить папки:
Для Windows XP: C:\Documents and Settings\%username%\Главное меню\Программы\Автозагрузка
Для Windows 7: C:\Users\%username%\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup
III.Измененный ключ реестра
Последний и самый редкий трюк вирусов - изменение ключа реестра, отвечающего за расположение файла hosts. Необходимо запустить редактор реестра (regedit) и проверить параметр DataBasePath в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters. Он должен иметь значение %SystemRoot%\System32\drivers\etc. Если значение другое, щелкните два раза мышкой на параметр и введите верное значение.
blog.fc-service.ru/virusy/ne-vozmozhno-izmenit-...
Причина
A. Некорректная запись в реестре (созданная вирусом) о положении файла userinit.exe
B. Повреждён или отсутствует файл «userinit.exe»
C. Повреждён файл реестра.
Решение
читать дальшеА. Загрузитесь с любого совместимого с ОС Windows LiveCD (загружаемой с CD\DVD-диска операционки), запустите редактор реестра, и подгрузите файл SOFTWARE (путь Windows\System32\config) локального реестра. Проверьте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], исправьте значение ключа "Userinit” на "C:\WINDOWS\system32\userinit.exe,".
Правка реестрагрузитесь с LiveCD (лучше ErdCommander) и меняйте файл Userinit.exe (можете взять файл с любого компа) находиться здесь C:\WINDOWS\system32\. Далее там же в LiveCD правим реестр компа (не LiveCD). Идем по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon справа находим параметр Userinit должно быть так: "Userinit"="C:\WINDOWS\system32\userinit.exe," (без кавычек, с запятой в конце), если запись отличается, то правим.
Все это можно проделать и подцепив хард к другому компу. Только при работе с реестром, надо будет "Загрузить" куст неисправной машины.
Действия:
1. Грузимся через "Безопасный режим" и входим администратором.
2. Пуск-Выполнить-regedit. В левой части дерева реестра выбираем HKEY_LOCAL_MACHINE.
3. В меню Реестр выбираем команду Загрузить куст. Откроется окно, находим папку с неисправным Windows. Далее идем по пути Windows(неисправный)\System32\config\ находим файл software шелкаем и Открыть. Выйдет окошко даем любое имя. И там правим путь Userinit.
4. В меню Реестр выбираем Выгрузить куст и выгружаем куст.
5. Выключаем комп, винт обратно цепляем на больной комп и входим под уже работающей системой.
pchelpforum.ru/f34/t28668/
B. Скопируйте с аналогичной ОС файл «userinit.exe» по вышеуказанному пути.
Обязательно проверьте системные папки (Windows, текущая учётная запись в Documents and Settings (Users для Win Vista\7), RECYCLER и System Volume Information) на наличие вирусов.
С. Загрузитесь с LiveCD, откройте диск, на котором установлена ОС (С:\). В корневой папке этого диска находится папка System Volume Information. Внутри этой папки может быть одна, или несколько папок "_restore{x...x}"; нам понадобится папка с последней по времени датой создания, остальные лучше удалить.
Внутри этого каталога располагаются другие подкаталоги, вида RPxxx (x-порядковый номер). Эти подкаталоги являются контрольными точками системы. Для восстановления мы выбираем предпоследнюю по номеру папку, а самую последнюю удаляем. Это делается для того, чтобы восстановить систему перед той датой или событием, когда была сделана последняя, возможно уже содержащую источник проблемы, контрольная точка.
Заходим внутрь выбранной папки, и далее в подпапку "snapshot". Если таковой подпапки нет, то нужно выбрать другую предыдущую контрольную точку, а эту удалить. В папке "snapshot" расположены сохранённые в виде файлов главные ветви рееста, здесь нам нужен файл "_REGISTRY_MACHINE_SYSTEM".
Открыв другое окно Проводника, следуем по пути \Windows\system32\config, и в папке "config" мы удаляем файл "system". После этого переключаемся на другое окно, и копируем файл "_REGISTRY_MACHINE_SYSTEM" в папку "config". Переименовываем скопированный файл в "system".
Далее, работу с LiveCD можно завершить, выбрав перезагрузку. После рестарта ПК нужно выбрать загрузку с жёсткого диска, и после прохождения POST нажать на клавишу F8 для выбора варианта загрузки. В появившемся меню выбираем "Загрузка последней удачной конфигурации». Важно не пропустить времени для выбора режима загрузки, иначе восстановления системы не произойдёт.
Внимание! В ряде случаев необходимо заменить не только файл System, но и Software, и, возможно, другие компоненты реестра. Если на компьютере служба восстановления была отключена, и нет ни одной точки восстановления (или их восстановление не решает проблему), то можно использовать файлы реестра по пути \Windows\Repair, который так же копируется по пути \Windows\system32\config с заменой существующего файла. После этого, ПК просто перезагружается, вызывать меню по F8 не нужно. Подобная замена приведёт ОС к первоначальному состоянию, с утерей сведений об установленных программах.
II.«После загрузки на экране нет ничего, кроме фонового рисунка и курсора мыши»
Причина
А. Работа вредоносной программы или вируса.
B. Установлен неоригинальный файл "uxtheme.dll"
Решение
читать дальшеА. Попробуйте запустить оболочку "Explorer.exe" вручную, вызвав Диспетчер задач (ALT+CTRL+DEL, затем Файл->Выполнить).
Запустите редактор реестра (regedit.exe), и осмотрите следующие ветви:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon, в параметре Shell не должно быть ничего, кроме Explorer.exe
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options в данном разделе не должно быть подраздела explorer.exe
Замените файл explorer.exe аналогичным, с рабочего ПК.
B. Замените файл "uxtheme.dll" (Windows\System32) на оригинальный, с аналогичной ОС.
Обязательно проверьте системные папки (Windows, текущая учётная запись в Documents and Settings (Users для Win Vista\7), RECYCLER и System Volume Information) на наличие вирусов
III. «Вместо окна «Приветствие», или после загрузки ОС, на экране фоновое изображение с требованием отправить sms, ввести код разблокировки и т.п.»
Причина
Работа вредоносной программы или вируса.
Решение
читать дальшеОбязательно проверьте системные папки (Windows, текущая учётная запись в Documents and Settings (Users для Win Vista\7), RECYCLER и System Volume Information) на наличие вирусов. Весьма рекомендуется пользоваться антивирусом, загрузившись с LiveCD.
Внимание! Известны случаи установки вредоносной программы по пути C:\WINDOWS\Installer\{C3F19A5F-35A8-4FDB-A6ED-0F4CE398DAFC}(значение будет другим!) . В этом случае, воспользуйтесь сторонней программой для отображения ВСЕХ установленных программ, т.к. стандартный установщик Windows не отобразит нужное. Далее, автоматически или вручную удалите вредные файлы и ссылки на них из реестра.
reshenie-problem.narod.ru/page2.html
Нужно посмотреть ветки реестра, где обычно прописывается баннер.
В первую очередь это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Здесь нужно проверить три ключа:
- ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe
- UIHost должен иметь строковое значение logonui.exe
- Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение C:\Windows\system32\userinit.exe,
Теперь проверим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp, C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_
Иногда баннер прописывается в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Значение этого ключа обычно пустое либо там прописывается антивирус.
Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.
Теперь посмотрим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке - запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.
В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exe, iexplorer.exe, userinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаем Удалить (Delete)
Еще нужно посмотреть и проверить ветки реестра HKEY_USERS\%username%\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_USERS\%username%\Software\Microsoft\Windows\ CurrentVersion\Run , где %username% - имя учетной записи Windows.
Многие модификации баннеров в последнее время вносят свои записи в файл hosts тем самым перенаправляя с популярных сайтов, например Одноклассники или ВКонтакте, на свой сервер, где ваш компьютер будет снова инфицирован. Поэтому нужно обязательно проверить файл hosts на наличие посторонних записей.
blog.fc-service.ru/virusy/porno-baner-erd.htm
WINDOWS заблокирован. Отправьте СМС на номер 3649.
Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком сложнее. Ибо о нём в интернете инфы было мало.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором»
A. Исправить ключ реестра: [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System], параметр REG_DWORD DisableTaskMgr со значением 1. Должно быть 0.
B. Отредактировать групповые политики: Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
C. Если вирус на этом не сдался, открывается поверх всех окон и прячет все, что открыто. Запускаем монитор процессов, какой нравится.
"DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска) А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было."
www.makak.ru/2009/04/29/windows-zablokirovan-ot...
remontcompa.ru/233-kak-ubrat-banner.html
wadson-nsk.ru/problems-decision/windows-blocked...
remontcompa.ru/252-kak-izbavitsya-ot-bannera.ht...
Компьютер заблокирован до загрузки Windows. Красный текст на черном фоне с требованием оплатить штраф. Эти баннеры прописываются в загрузочный сектор диска (MBR) и блокируют компьютер еще до загрузки операционной системы. Это так называемый MBR.Lock (МБР-лок).
читать дальшеУдаление баннера через консоль восстановления
Не все так страшно, как кажется. На самом деле удаление баннера MBR.lock намного проще, чем в случае с баннером на рабочем столе. Необходимо выполнить восстановление MBR (главной загрузочной записи).
Для лечения нам понадобится установочный диск Windows XP. Загружаемся с диска. Начнется загрузка необходимых для установки драйверов, после чего появится окно с выбором действий. Нажимаем клавишу R для запуска консоли восстановления Windows XP. После загрузки консоли будет задан вопрос, в какую копию Windows выполнить вход. Выбираем свою копию. Если у вас всего одна ОС, вводим 1 и нажимаем Enter.
Потребуется ввести пароль администратора. Вводим пароль и нажимаем Enter. Если пароль не стоит, то ничего не вводим, а просто нажимаем Enter. После этого выполнится вход в систему. Об этом будет свидетельствовать командная строка.
Вводим команду fixmbr и нажимаем Enter. На вопрос Подтверждаете запись новой MBR? вводим с клавиатуры в латинской раскладке y, что означает yes и нажимаем Enter.
Если появится сообщение Новая основная загрузочная запись успешно сделана, значит все прошло успешно и MBR восстановлена. Вводим команду exit и нажимаем Enter. После этого компьютер перезагрузится. Вот и все, компьютер разблокирован!
blog.fc-service.ru/virusy/banner-mbr-lock.htm
Запуск восстановления системы из командной строки %SystemRoot%\system32\restore\rstrui.exe
Невозможность выйти в интернет при помощи любого браузера или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.
читать дальше
Так пакостит Trojan.Mayachok.1 (он же Trojan.Win32.Cidox). По описаниям ресурса Dr.Web, это троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение, также заводится при запуске левых программ, скачанных с ненадежных файлообменников.
Дополнительно по функционалу - маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило, всё работает.
Вероятность исцеления антивирусом есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Лечится всё на самом деле очень просто.
Открываем редактор реестра - regedit.exe, находим ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и параметр AppInit_DLLs. Смотрим значение этого параметра.
Если видим запись, подобную этой: "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll" (кроме tvhihgf.dll имя файла может состоять из любых других латинских букв) - удаляем ее. Сам параметр AppInit_DLLs при этом оставляем, убираем только значение. Перезагружаемся
После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1. Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением ***.tmp из каталога C:\windows\system32.
Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне нужные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.
Невозможно изменить файл HOSTS
читать дальшеЧасто вирусы, которые изменяют файл hosts и не пускают на определенные сайты или, наоборот, перенаправляют на мошеннические сайты, делают уловку, которая не позволяет изменить этот файл.
I.Скрытый файл hosts
Вирус создает в системе второй файл hosts, который делает скрытым. Таким образом ОС считывает данные из обоих файлов и выполняет прописанные вирусом инструкции из скрытого файла hosts. Таким образом, при проверке "видимого" файла выявить ничего подозрительного невозможно.
Если есть подозрение на модификацию файла hosts, обязательно нужно включить доступ к скрытым папкам и файлам, а затем проверить, нет ли дублирующего файла с вирусными записями. Напомню, что файл hosts редактируется стандартным приложением Блокнот или любым текстовым редактором и располагается в папке C:\WINDOWS\system32\drivers\etc
II.Скрипт в автозагрузке
Вирусописатели - очень изобретательные люди и все время ищут новые пути маскировки. Совместно со скрытым вторым файлом hosts часто применяется такой трюк, как скрипт в автозапуске. Что же это за скрипт и как с ним боротться?
Скрипт представляет из себя набор стандартных команд Windows записанных в текстовый файл и редактируемый любым текстовым редактором, например, Блокнотом. В нашем случае чаще всего применяется скрипт, который копирует из временной папки Windows инфицированный файл hosts и делает его скрытым. Скрипт этот в основном сидит в меню Пуск - Все программы - Автозагрузка. Таким образом при каждой перезагрузке компьютера инфицированный скрытый файл hosts снова появляется в системе и создается впечатление, что файл hosts не возможно изменить.
В некоторых случаях вирусы маскируют и папку Автозагрузка. В таком случае в ней ничего не будет отображаться, даже если там сидит вирус. Необходимо включить отображение скрытых файлов и проверить папки:
Для Windows XP: C:\Documents and Settings\%username%\Главное меню\Программы\Автозагрузка
Для Windows 7: C:\Users\%username%\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup
III.Измененный ключ реестра
Последний и самый редкий трюк вирусов - изменение ключа реестра, отвечающего за расположение файла hosts. Необходимо запустить редактор реестра (regedit) и проверить параметр DataBasePath в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters. Он должен иметь значение %SystemRoot%\System32\drivers\etc. Если значение другое, щелкните два раза мышкой на параметр и введите верное значение.
blog.fc-service.ru/virusy/ne-vozmozhno-izmenit-...