Перейти к содержанию

Блокировщик Windows с запросом платного СМС


Рекомендуемые сообщения

После перезагрузки виндоус и включения в обычном режиме банер не исчез.

Сейчас снова посмотрел значение параметра Shell - там снова другое значение (либо Explorer.exe я не сохранил, либо после перезагрузки опять троян вписал его в реестр)

И еше, в Userinit стоит X:\WINDOWS\system32\userinit.exe, это из-за того что с CD гружусь или исправить на C?

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 39
  • Created
  • Последний ответ

Top Posters In This Topic

  • beast_

    17

  • MotherBoard

    12

  • thyrex

    5

  • Mark D. Pearlstone

    3

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Проверьте, нет второго Winlogon c маленькой буквы

--------------------------------------------------------------------------------------winlogon

+

запомните путь поддельных параметров

После редактирования файлы зловредов(запомните путь) переименуйте файлы и сохраните их в отдельной папке.

После чего удалите эти файлы по естественному пути, а сохранённые и переименованные файлы отправьте в ЛК согласно формы:

http://support.kaspersky.ru/virlab/helpdesk.html

А насчёт

X:\WINDOWS\system32\userinit.exe,

У вас системный раздел: Диск С?

Тогда на С и исправляйте..

Я только что загрузилась с ЕРД Коммандор, даже в режиме LiveCD путь записан через С, так как у меня Диск С - системный..

Изменено пользователем MotherBoard
Ссылка на сообщение
Поделиться на другие сайты

Второго Winlogon нет.

Системный диск C у меня - исправил с X.

 

запомните путь поддельных параметров

После редактирования файлы зловредов(запомните путь) переименуйте файлы и сохраните их в отдельной папке.

После чего удалите эти файлы.

А вот нащет этого не понял немного. Мне нужно запомнить неправильный параметр (то есть cmd.exe /k start cmd.exe) дальше переименовать в правильный, и сохранить в отдельной папке? где?

не могли бы немного поподробнее описать процес )с) спасибо

 

И еще вопрос как я их отправлю? я щас просто с ноута сижу пишу, а этот процесс весь на пц происходит)

Ссылка на сообщение
Поделиться на другие сайты

cmd.exe переименуйте из cmd любыми символами, чтобы он стал неактивным...

А пути у вас k - есть такой логический диск или привод или флэшка..?

Надо через файлы и папки найти его, переименовать, пересохранить, после чего удалить....

если же путь неизвестный, то есть у вас как таковой логический или съёмный диск отсутствует и не было..

 

Тогда так же скачайте cureit и дайте полную проверку компьютера с режима LiveCD

Ссылка на сообщение
Поделиться на другие сайты

K - такого вообще ничего нет.

И еще проблема - как я найду cmd.exe и перемеину, если у меня через эту оболочку сама винда не грузится. Я тока через командную строку могу работать по сути дела.

Ссылка на сообщение
Поделиться на другие сайты
K - такого вообще ничего нет.

И еще проблема - как я найду cmd.exe и перемеину, если у меня через эту оболочку сама винда не грузится. Я тока через командную строку могу работать по сути дела.

ТОгда пока что выполняйте:

скачайте cureit и дайте полную проверку компьютера с режима LiveCD

а там посмотрим дальше, что делать.. Какой -то путь у файла странно.. липовый..

Изменено пользователем MotherBoard
Ссылка на сообщение
Поделиться на другие сайты

А после редактирования реестра Userinit параметра у вас баннер пропал или остался?

Проверьте ещё параметры автозагрузки:

 

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

 

есть ли там непонятные вам записи программ?

а с CurreIt и LiveCD пока подождите

Изменено пользователем MotherBoard
Ссылка на сообщение
Поделиться на другие сайты

beast_, Вы используете ERD Commander или какой-то другой LiveCD?

Если все же ERD Commander, то используйте версию 2005, а не 2009 (3 in 1)

Ссылка на сообщение
Поделиться на другие сайты

В деблокере появились коды разблокировки для моего номера и текста смс, но увы они не подходят(((

 

А после редактирования реестра Userinit параметра у вас баннер пропал или остался?

Проверьте ещё параметры автозагрузки:

 

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

 

есть ли там непонятные вам записи программ?

а с CurreIt и LiveCD пока подождите

 

Все нормально там, ничего непонятного нет

 

ЗАшел через ERD Commander 2005, там в значении параметра Shell все нормально - explorer.exe стоит.

Оболочка грузица нормально) что делать подскажите

Ссылка на сообщение
Поделиться на другие сайты
Mark D. Pearlstone
ЗАшел через ERD Commander 2005, там в значении параметра Shell все нормально - explorer.exe стоит.

Оболочка грузица нормально) что делать подскажите

В смысле при обычной загрузке баннера уже нет?

Ссылка на сообщение
Поделиться на другие сайты

Нет, при обычной загрузке банер есть и никуда не девается...)

 

Аа что делать подскажите пожалуйста! ПК уже нужен срочно. Мастера думаю не имеет смысла вызывать...)?

Ссылка на сообщение
Поделиться на другие сайты

Посмотрите папки на компе:

c\Program Files\.. нет ли там каких ХХХ.exe

так же посмотрите:

C:\Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files\Content.IE5\

Нет ли каких папок со случайными символами и экзешками внутри..

так же проверьте:

Файл C:\WINDOWS\system32\drivers\etc\hosts должна быть в основном одна строка :

127.0.0.1 localhost.

Изменено пользователем MotherBoard
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...