| Рекламные банеры в браузерах,вирус WinLock, лечение и защита| АВТОР | СООБЩЕНИЕ |
|---|
| Удаление порно баннера из проводника
Удаление порно информера Internet Explorer
Если при открытии любой страницы в Internet Explorer у вас в нижней части экрана появляется информер порнушного содержания: развратные порно картинки и предложение убрать всё это дело через отправку SMS на короткий номер не отправляйте SMS не в коем случае. Это нечего не даст. Один мой знакомый отправил сообщение – информер не убрался, а деньги с телефона снялись 300 рублей с копейками. И так приведу два варианта, как избавиться от этой штуки совершенно бесплатно.
Вариант 1: Открываем наш IE. Выбираем пункт меню “Сервис->Свойства обозревателя”. В “Свойства обозревателя” выбираем вкладку “Дополнительно” и нажимаем сначала на кнопку “Сброс”. Перезагружаемся.
Вариант 2: Открываем наш IE. Выбираем пункт меню “Сервис->Надстройки ->Включение и отключение надстроек”. В поле соответствующему надписи файл ищем все файлы оканчивающиеся на lib.dll. Отключаешь настройки для первого попавшегося такого файла. Перезапускаешь Internet Explorer. Если информер остался включаешь для этого файла надстройку и отключаешь для следующего имя которого оканчивается на lib.dll. Потом удаляешь найденный файл из папки system32.
Удаление порно информера в Opera
Открываем нашу Оперу. Выбираем пункт меню “Инструменты -> Настройки”.
Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом на появившуюся кнопку на кнопку “Настройки Javascript…”.
В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.
Закрываем оперу. По пути, написанном в поле “Папка пользовательских файлов Javascript” можно зайти и удалить файлы заразы с расширением «js». Если у вас там будет написано “C:WINDOWS uscripts” то деляйте всю папку “uscripts”
Всё!!! Теперь Opera избавилась от всякой гадости!!!
Удаление порно информера Mozilla Firefox
Вы пользуетесь Mozilla Firefox и никак не хотите переходить на другой браузер. А этот вирус - порно информер (развратные порно картинки с предложением убрать его за SMS) на весь экран или снизу экрана вас замучил? Так уберите, удалите, избавьтесь от него! Не знаете как? Ну, тогда я вам расскажу, как выключить надоедливый порноинформер бесплатно.
1. Открываем браузер Mozilla Firefox
2. Выбираем пункт меню «Инструменты»->« Дополнения»
3. На форме дополнения выбираем пункт «Расширения»
4. Удаляем все пункты, про которые не знаем ни чего либо подозрительные.
© «Золотой блог». All Rights Reserved.
--------
PS:хватит лазить по порносайтам, ни чего кроме вирусов там не найдете интересного, .lol.
================
Цитата:
Santijago 6.11.2009
Очередной раз попросили избавиться от вируса блокируещего доступ к системе и выводящего окно с просьбой отослать код активации в СМС на какой нибудь номер. Решил поделиться рабочими способами для разблокировки без посыла СМС.
_____________________
1 способ:
Сразу ищем интернет и переходим НА СТРАНИЦУ ГЕНЕРАЦИИ КОДА от Лаборатории Касперского
или
НА СТРАНИЦУ ГЕНЕРАЦИИ КОДА от ESET (NOD32)
Там вводим свои данные и генерируем код.
_____________________
2 способ:
Сделать видимыми скрытые папки и файлы в Windows.
Зайти в Windows/temp и удалить в папке все файлы со словом don в названии (например donA8).
После перезагрузки должен исчезнуть вирус (окно)
Ну если в искомой папке не будет этих файлов, то ищем через поиск.
_____________________
3 способ:
Переустановить время в компьютере на время вперед: от 2-х дней до месяца.
|
------------------
==============
Если нет возможности зайти на сайт Dr. WEB то оставте заявку в теме вирусы на генерацию кода,
с Ув. Mark2 | |
Последний раз редактировалось: Марк2 (2 февраля 2010, 03:44), всего редактировалось 2 раз(а) | | | Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010
[url=http://www.anti-malware.ru/blog/мячин_дмитрий]Блог @ Мячин Дмитрий[/url]
К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.
Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции | В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты \Winlogon\shell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 4 места и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
Пути нужно писать так, как написал их я. Каждый путь добавляется отдельно.
 | | JPG 48.8 Kб |
Вот как это выглядит в конечном счете:
Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пункте 4 после * его нет.
Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...".
В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и т
 | | JPG 42.2 Kб |
Вот что получается в итоге:
Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).
Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:
1-Параметры безопасности Internet Explorer
2-Зоны Internet Explorer
3-Параметры встроенного фаервола
4-Ветку политик
...и прочее
 | | JPG 92.7 Kб |
Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности":
После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.
 | | JPG 19.7 Kб |
знаменитое окошко :-)
|
| | Сейчас нет на сайте
Репутация: 2
Регистрация: 27.01.2008
Всего сообщений: 903
Откуда: Россия |
| | Удаление Internet Security |  | | JPG 23.7 Kб |
|
| | Сейчас нет на сайте
Репутация: 2
Регистрация: 27.01.2008
Всего сообщений: 903
Откуда: Россия |
| ПРОБЛЕМА: при попытке запустить или удалить какую-нибудь программу, появляется баннер почти на весь экран:
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.
Он "находит" сколько то вирусов и предлагает лечить или удалить вредоносные файлы. Если выбираешь лечить - появляется сообщение об оплате программы посредством SMS на номер ХХХХ.
Этот баннер выскакивает после загрузки windows и в безопасном режиме и в простом. Заблокированы диспетчер задач и реестр, восстановление системы отключено, антивирус отключен. При запуске любой программы баннер перезапускается и сканирует систему заново.
Состав вредоносной программы:
Вредоносное ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) состоит из одного основного компонента - исполняемого файла %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManager.exe, размером 96256 байт.
В некоторых случаях в системе сохраняется также и дроппер - исполняемый файл %UserProfile%\Главное меню\Программы\Автозагрузка\zavupd32.exe, размером 32000 байт.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), то мы настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
РЕШЕНИЕ: Если код для sms начинается на k, например, к204114200, то можно попробовать подобрать ответный код по схеме-
К = 1--2--3--4--5--6--7--8--9
0 = 8--9--1--2--3--4--5--6--7
1 = 9--1--2--3--4--5--6--7--8
2 = 1--2--3--4--5--6--7--8--9
3 = 2--3--4--5--6--7--8--9--1
4 = 3--4--5--6--7--8--9--1--2
5 = 4--5--6--7--8--9--1--2--3
6 = 5--6--7--8--9--1--2--3--4
7 = 6--7--8--9--1--2--3--4--5
8 = 7--8--9--1--2--3--4--5--6
9 = 8--9--1--2--3--4--5--6--7
Для кода в sms подставляешь цифры одного из столбцов. Например, просили отправить сообщение к204114200.
Значит надо пробовать комбинации:
1183993188
2294114299
3315225311и тд, одна должна подойти.
_________
Можно также попробовать сгенерировать код при помощи анлокера от Др.Веб
или Сервис деактивации вымогателей-блокеров
_________
Затем, после нормальной перезагрузки, необходимо проверить всю систему обновленным антивирусом, особенно обращая внимание на папки:
1) C:\Documents and Settings\%username%\Local Settings\ - там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ - из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) - найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла относятся к Windows (msv1_0.dll и xmlprov.dll - эти файлы не удалять), а остальные, особенно с датой создания за последнее время) - очень хорошо проверить - 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть на флешках. И сразу удаляем папку RECYCLER и autorun.inf. (они скрыты, надо в свойствах папки включить "показывать скрытые и системные файлы")
________
Если есть под рукой "здоровый" комп, то можно воспользоваться генератором кодов для Internet Security | |
| | Сейчас нет на сайте
Репутация: 0
Регистрация: 24.05.2010
Всего сообщений: 1501 |
| Как удалить баннер с требованием отправки денег через терминал экспресс оплаты?
В настоящее время пользователи часто сталкиваются с требованиями отправки денег через терминал экспресс оплаты на счета:
004287-623965
004287-274359
004287-924675
Чтобы удалить с Рабочего стола баннер (Porno Media Module) с требованием перевода денег на счет мошенников через терминал экспресс оплаты, выполните следующие действия:
откройте в браузере страницу сервиса Deblocker
http://support.kaspersky.ru/viruses/deblocker
введите в поле "Номер телефона" вместо телефонного номера , номер счета, указанного мошенниками в сообщении баннера (например, 004287-623965)
нажмите на кнопку Получить код разблокировки
в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки
скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз
вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.
зы:все так же при не возможности воспользоваться интеренетом , заявку на коды оставляем в теме вирусы.
Информация предоставлена компанией Kaspersky Lab | |
| | Сейчас нет на сайте
Репутация: 0
Регистрация: 24.05.2010
Всего сообщений: 1501 |
| Как восстановить зашифрованные вирусом файлы?
1.Чтобы восстановить зашифрованные вирусом файлы,выполните следующие действия:
откройте в браузере страницу сервиса Deblocker
http://support.kaspersky.ru/viruses/deblocker
в поле "Текст смс" введите номер ID в формате ХХХ-ХХХ-ХХХ, который вымогатели требуют указать в теме письма
2.нажмите на кнопку Получить код разблокировки
полученный код разблокировки введите в программу расшифровки файлов, указанную мошенниками.
зы:все так же при не возможности воспользоваться интеренетом , заявку на коды оставляем в теме вирусы.
Информация предоставлена Kaspersky Lab | |
| | Сейчас нет на сайте
Репутация: 27
Регистрация: 20.05.2006
Всего сообщений: 2351
Откуда: Пермский край |
| Еще один из способов удаления смс-банеров.
Для начала скачиваем Win7 PE uvs v3
http://depositfiles.com/files/xmh0fn9cq
http://turbobit.net/db97ixsfhiq3.html
===========
Для того, чтобы это осуществить нам понадобится: CD диск или флешка (если флешка то еще и программа UltraISO) Образ -Win7PE_uVS.iso |  | | JPEG 62.8 Kб |
1. Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск и в нем файл Win7PE_uVS.iso то НЕ правильно)
В меню выбираем или загрузка с CD-DVD привода или с флешки Flash
 | | JPEG 85.3 Kб |
2. После загрузки появится окно:
Выберите в нем TotalCommander и нажмите GO
 | | JPEG 131 Kб |
3.Далее ищем свою флешку (она подписана как Win7PE_32), и открываем папку uVS на ней. В папке ищем файл start.exe и запускаем.
Если грузитесь с диска в папку uVS заходить не нужно. Все дело в том, что программа создает временные файлы, и на диск они никаким образом записаться не смогут поэтому выдает ошибку. Чтобы этого избежать необходимо запустить файл start.cmd находящийся в корне диска возле папки uVS
 | | JPEG 46.5 Kб |
4. В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система), после чего на кнопке "Выбрать каталог Windows" появится надпись в скобках (выбран C:\WINDOWS). Далее жмем "Запустить под текущим пользователем"
5. Когда откроется окно, нажимаем вкладку "Дополнительно" выбираем "Очистить корзину и каталоги профилей пользователей от временных файлов", далее "Твики" и нажимаем на кнопке №12 "Сброс ключей Winlogon в начальное состояние. "Останется удалить подозрительные файлы, т.е те, что бросаются в глаза, например xxx_video_3242.exe или ~rdr813.tmp
P.S Можно вставить диск, когда система загружена и баннер вылез. Программа свернёт его и далее следует проделать процедуру описанную выше.
(!) Только для специалистов по лечению!
(!) uVS НЕ является заменой антивируса!
|
| | Имя: Света и +1 еще
Сейчас нет на сайте
Репутация: 107
Регистрация: 25.04.2009
Всего сообщений: 3170
Откуда: Ту область |
| Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER
( например абонента билайн) p.s номера могут быть от любого оператора.
Live CD (также LiveCD и CD Live Distro) — англ. живой компакт-диск, произносится «лив си-ди» или «лайв си-ди») — операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск. Этим же понятием обозначают и носители с такими ОС (иногда различают LiveCD, LiveDVD и LiveUSB в зависимости от носителя). Live CD позволяют быстро начать работу с компьютером, избегая длительного процесса установки ОС в постоянную память компьютера — винчестер. Запуск Live CD занимает обычно несколько минут, в то время, как первый запуск (установка) традиционных ОС зачастую требует от одного до нескольких часов.
RusLive Ram -одна из самых быстрых Live CD. Загружается за 1 мин. 30 сек! В состав входят порядка 50 программ; антивирусы Nod32 и Kaspersky, работа и восстановление разделов Acronis и Recowery, UltraISO, обозреватели файлов Image Viewer, дефрагментатор и т.д.
Скачиваем LIVE CD RusLive Ram по этой ссылке: Windows RusLive Ram 2009-12-04--542 MB
Windows RusLive Ram 2009-10-21--470 MB |  | | JPG 85.3 Kб |
Как могут выглядеть баннеры данного типа:
 | | JPG 39.3 Kб |
Как могут выглядеть баннеры данного типа:
 | | JPG 46.6 Kб |
Что такое ISO-образ? ISO-файл является представлением (образом) компакт-диска или DVD-диска, содержащего файловую систему. Этот образ представляет собой обыкновенный файл с расширением .iso . Его можно использовать (в совокупности со специальными программными средствами) вместо компакт-диска. Следует иметь в виду, что ISO-образ содержит меньше информации, чем исходный компакт-диск. На компакт-диске содержится служебная информация, которая может, в частности, использоваться для защиты от копирования. Возможностью сохранять подобную информацию (в своих собственных форматах образа диска) обладают некоторые из программ для работы с компакт-дисками.
Далее как скачалиRusLive_Ram_4in1_2010_05_09.ISO Размер файла:: 532.34 Mb
Нам необходимо записатьобраз ISO на диск.Записываем лучше на DVD-R, диск должен быть обязательно чистый.( можно и на CD- проверено и всё работает)
Мы рассмотрим пример записи ISO-образа на диск с помощью программы CDBurnerXP
и NERO EXPRESS <<---для ХР
Внимание, у всех тех людей у кого на зараженном компе операционная система WIN 7 и ВИСТА запись образа ISO делаем через программу NERO EXPRESS)
Скачиваем по этой ссылке программу CDBurnerXP v4.3.8 Build 2560 Final
 | | JPG 30.6 Kб |
- После того, как вы скачали и установили данную программу нужно её запустить. При запуске CDBurnerXP открывается диалоговое окно Выбор действия,в котором нужно выбрать пунктЗаписать ISO образи нажать на кнопку ОК.
В открывшимся окне необходимо выбрать ISO-образ диска, который вы хотите записать. Также в этом окне можно установить привод для записи (если у вас в системе несколько приводов) и желаемую скорость записи диска. Когда все установки закончены, нажимаем на кнопку -Записать диск.
После этого открывается окно, в котором будет показан прогресс записи диска
По завершении записи вы сможете пользоваться записанным диском на любом компьютере с CD/DVD приводом.
 | | JPG 39.9 Kб |
2)Запись образа ISO с помощью программы
Скачиваем программу по этой ссылке: Nero 6.6.1.15a Rus Final класика или Nero Lite 10.6.11300 Build 1.6 более современный
- После установки программы, нажимаем на значок (ярлык) который должен появится на рабочем столе, под названием –NERO EXPRESS.
- Перед вами появится окно с выбором действий.
- Выбираем – ОБРАЗ,ПРОЕКТ,КОПИР.
- Далее выбираем – Образ диска или сохранить проект
- Выбираем образ ISO который вы скачали и нажимаем открыть.
- Перед нами меню записи образа ISO на диск
- Выбираем скорость записи(лучше выбираем запись со скоростью 8x)
- Выбираем тип диска на который вы хотите записать образ CD или DVD.
- Нажимаем на запись и ждем когда программ запишет образ на диск.
- После записи вы можете пользоваться данным диском на любом CD\DVD приводе.
 | | JPG 40.9 Kб |
После того как записали LIVE CD нам необходимо поменять в BIOS загрузку с CD.
Рассмотримдве версии загрузки с CD в BIOS
Первый вариант:
- После того как вы включили компьютер, нажмите на клавиатуре кнопку для загрузки BIOS вашего компьютера, чаще всего это кнопка «Del» или «F2».
- Если не сработало, то обычно при начале загрузки компьютера, внизу экрана написаны клавиши доступа, вам нужна та, напротив которой есть слово BIOS.
- Если вы ничего подобного не видите, то попробуйте полистать инструкцию от вашей материнской платы, ее обычно прикладывают к компьютеру.
Что же такое BIOS?
- BIOS – это программа находящаяся непосредственно в микросхеме материнской платы, отвечающая за инициализацию устройств подключенных к этой материнской плате.
- После того как мы загрузились в BIOS, нам необходимо сделать, чтобы первичная загрузка происходила с нашего CD привода.
- Дело в том, что существует большое количество версий BIOS, но все они между собой похожи.
- Для примера возьмем версиюPhoenixBIOS,здесь чтобы установить загрузку с CD диска:
1) Необходимо перейти использую стрелочки на клавиатуре в меню Boot, как показано на картинке внизу.
2) Установить «CD-ROM Drive» на самую верхнюю строчку, здесь это можно сделать клавишами «+» и «-» на правой части клавиатуры.
3) После этого нажмите клавишу «F10» и подтвердите сохранение параметров клавишей «Enter».
4) Учтите что у вас может быть совершенно другая версия BIOS, но не стоит отчаивается, побродите по всем меню и попробуйте найти что ни будь похожее со словами «Boot» или «First boot device».
 | | JPG 39.2 Kб |
Второй вариант, рассматриваем другую версию BIOS:
- При включении или перезагрузке жмём и не отпускаем клавишу DELETE
- Видим такое окно:
 | | JPG 66.3 Kб |
- На клавиатуре стрелочками выбираем строчку Advanced Bios Features. на картинке она вторая- с лева- с верху-вниз, отмечена красным, выделяем её и нажимаем Enter появилось-это:
- Напротив строчки First Boot Device находиться сказать по проще то с чего загружается компьютер, т.е жесткий диск HDD ( на картинке USB-HDD, но может быть и HDD 1 и НDD 2[/b, смотря где у вас находится[b] Винда (Windows)
- Выделяем это значение и жмёмENTER появляется маленькое окошко, что то типа этого рис 2
- Стрелочками на клавиатуре двигаем квадратик ( который в скобочке) на значение CDRom, жмем клавишу Enter окошко пропало, затем жмём клавишу F10, появиться красненькое окошко, которое спрашивает: Сохранить или нет, жмём Enter и загрузка с СD пошла.
Начинаем загрузку с Live cd RusLive_Ram
|
| | Имя: Света и +1 еще
Сейчас нет на сайте
Репутация: 107
Регистрация: 25.04.2009
Всего сообщений: 3170
Откуда: Ту область |
| Начинаем загрузку с Live cd RusLive_Ram
- Перед вами появится меню выбора:
- Выбираем 4 пункт Multimedia 256 Mb
- Ждем загрузи, далее появляется рабочий стол:
- Для начала удаляем временные файлы:
-X:\Documents and Settings\профиль пользователя\Local Settings\Temp
- X:\Documents and Settings\профиль пользователя\Local Settings\Temporary Internet Files, (кроме файла index.dat)
где X- раздел жесткого диска, на котором установлена операционная система.
- Профиль пользователя - в зависимости от количества пользователей на компьютере их может быть несколько (не забудьте также проверить папки NetworkService, Default User)
X:\WINDOWS\Temp - удалить все файлы из текущей папки.
- X:\Temp - если папка присутствует, удалить ее содержимое .
- Также чистим папку Windows\Prefetch
- Далее нужно восстановить explorer необходимо перепрописать в реестре значение Shell на значение explorer.exe
- Файл, в котором хранится нужная нам ветка реестра находится по пути: C:\Windows\system32\config\software
Настройка эта хранится в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Необходимо изменить параметр Shell на explorer.exe |  | | JPG 54.9 Kб |
 | | JPG 34.6 Kб |
Как редактировать уделенный реестр:
- Загрузившись с LIVE CD мы видим рабочий стол.
Пуск – Выполнить – RegEdit, - Ставим курсор на раздел HKEY_LOCAL_MACHINE. –
- Далее файл – загрузить куст.
- Загружаем куст реестра. рис1
- Выбираем файл software , который лежит в папке Windows на нерабочем компьютере, а именно по пути: C:\Windows\system32\config\software
- Вводим любое название.
- Вводим любое имя загружаемого куста (Можно назвать его ну например КОПМ) рис 2
- В редакторе реестра добавляется еще одна ветка, в ней идем по пути –
Копм \Microsoft\Windows NT\CurrentVersion\Winlogon
- Там прописан путь к файлу вируса, который и выходит на экран.
- Он может называтся примерно так: xxx_video_721(1).avu.exe , который хранился во временных файлах Internet Explorer.
 | | JPG 125 Kб |
- В параметре Shell прописан путь к вирусу, поэтому меняем значение параметра Shell на explorer.exe и нажимаем OK
- И в той же ветки смотрим значение строкового параметра Userinit
как показано на рисунке !!!
- Необходимо, что бы в изменении строкового параметра Userinit было прописано:
C:\WINDOWS\sistems32\ userinit.exe , всё что после запятой удаляем и нажимаем цвeтoм OK
- Далее ставим курсор на ветке которую загружали а именно:
Копм \Microsoft\Windows NT\CurrentVersion\Winlogon и обязательно жмем:
Файл – Выгрузить Куст
- Далее перезагружаем систему в обычном режиме, предварительно поменяв настройки в BIOS обратно на загрузку с жесткого диска и все должно быть нормально.
 | | JPG 13.3 Kб |
Этот баннер блокирует диспетчер задач:
1 ВАРИАНТ
- Необходимо разблокировать диспетчер задач (если вирус его заблокировал)
- для разблокировки Диспетчера задач необходимо отредактировать Реестр следующим образом:
- Нажмите: Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра.
- В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0
2 ВАРИАНТ
- Нажмите "Пуск" - "Выполнить" вставить следующую команду:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
- нажать-ОК
 | | JPG 18.8 Kб |
- Или через командную строку:
- Пуск - Программы - Стандартные - Командная строка
Вводим следующее:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
 | | JPG 53.8 Kб |
- Далее сканируем комп антивирусом с обновленными базами
- Или скачиваем бесплатную утилиту Dr.Web CureIt
. ,установки она не требует, не конфликтует с уже установленным антивирусом
- Сканируем ей комп желательно в режиме усиленной защиты.
- А также можно Kaspersky® Virus Removal Tool 2010
- это программа для лечения зараженного компьютера от вирусов и всех других типов
|
|
|
|
