Перейти к содержанию
Правила раздела

Блокер-вымогатель 906-096-60-22

Alexander007

От Alexander007
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Alexander007 Новичок

Alexander007

Опубликовано
  • Автор
Опубликовано
либо в реестре загрузка userinit переписана на левый файл, либо userinit.exe сам по себе заменён на зловредный.

 

 

http://support.kaspersky.ru/viruses/soluti...d=208641245#log

1) И что с этим делать?

2) Ну так то я вижу этот файл, но как его оттуда перебросить на другой комп?

 

Попробуйте на флешку скинуть, загрузившись с Kaspersky Rescue Disk.

Ну я про этот вариант и говорю, я же флешку не вижу в реестре из под Kaspersky Rescue Disk ...

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 48
  • Created
  • Последний ответ

Top Posters In This Topic

  • Alexander007

    22

  • Roman_Five

    11

  • Mark D. Pearlstone

    6

  • SLASH_id

    4

Popular Days

Top Posters In This Topic

Popular Days

Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано
Ну я про этот вариант и говорю, я же флешку не вижу в реестре из под Kaspersky Rescue Disk ...

При чём тут реестр? Вам нужно через файловый менеджер заходить.

Давайте вручную тогда. Запустите Kaspersky Registry Editor и посмотрите в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon значение параметров Shell и Userinit. Напишите их тут.

Ссылка на комментарий
Поделиться на другие сайты
Alexander007 Новичок

Alexander007

Опубликовано
  • Автор
Опубликовано (изменено)
объясните, что Вы под этим понимаете?

 

 

сначала хотелось бы увидеть лог...

Ну это и подразумеваю ... Вижу какойто реестр, но ничего не нахожу похожего на жесткие диски, флеку или DVD ... выше в реестре подняться нет возможности из этого интерфейса.

Извиняюсь за безграмотность, но как бы мне хотелось его показать и говорить с вами на одном языке! ;)

Изменено пользователем Alexander007
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Извиняюсь за безграмотность

я понял.

Вы в программе для работы с реестром. а надо зайти в файловый менеджер.

прочтите внимательно инструкцию - ссылку я давал.

Ссылка на комментарий
Поделиться на другие сайты
Alexander007 Новичок

Alexander007

Опубликовано
  • Автор
Опубликовано (изменено)
При чём тут реестр? Вам нужно через файловый менеджер заходить.

Давайте вручную тогда. Запустите Kaspersky Registry Editor и посмотрите в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon значение параметров Shell и Userinit. Напишите их тут.

Shell: explorer.exe

Userinit: C:\WINDOWS\system32\userinit.exe.

Изменено пользователем Alexander007
Ссылка на комментарий
Поделиться на другие сайты
Alexander007 Новичок

Alexander007

Опубликовано
  • Автор
Опубликовано (изменено)
я понял.

Вы в программе для работы с реестром. а надо зайти в файловый менеджер.

прочтите внимательно инструкцию - ссылку я давал.

Журнал работы Kaspersky WindowsUnlocker.:

 

Kaspersky Lab WindowsUnlocker, 2011

version 1.0.3.0 Sep 19 2011 13:46:19

 

Processing volume "/discs/sda1"

Processing volume "/discs/E:"

Processing volume "/discs/C:"

 

Registry hive "/discs/C:/windows/system32/config/system" opened successfully

"AlternateShell" - OK

"AlternateShell" - OK

"AlternateShell" - OK

 

Registry hive "/discs/C:/windows/system32/config/software" opened successfully

OS Windows detected: Microsoft Windows XP Service Pack 3 ( 2600.xpsp_sp3_qfe.100427-1650 ) C:\WINDOWS

Processing "Winlogon"

"Shell" - OK

"Userinit" - OK

Processing "Windows"

Processing "Run"

Processing "Image File Execution Options"

 

Registry hive "/discs/C:/Documents and Settings/LocalService/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

 

Registry hive "/discs/C:/Documents and Settings/NetworkService/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

 

Registry hive "/discs/C:/Documents and Settings/Admin/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

 

Есть еще два последующих ... нужны?

Изменено пользователем vasdas
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Alexander007

 

Если баннер все еще присутствует, сделайте следующее

1. Запустите Kaspersky Registry Editor

2. Сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<имя проблемной учетной записи>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте их и прикрепите к сообщению

Ссылка на комментарий
Поделиться на другие сайты
Alexander007 Новичок

Alexander007

Опубликовано
  • Автор
Опубликовано
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon , если Windows не загружается то нужно редактировать с Live CD.

Пока добился того, что загружается картинка рабочего стола и указатель мыши присутствует и управляется мышью ... Диспетчер задач показывает активного Админа ... Бездействие системы 99% ... Кнопки Пуск нет, как и всего другого ...

Банера тоже нет ...

Ссылка на комментарий
Поделиться на другие сайты
Alexander007 Новичок

Alexander007

Опубликовано
  • Автор
Опубликовано
Я такое встречал когда используются зборки типа "звЭр" у них вместо Userinit прописан User , попробуйте изменить : C:\WINDOWS\system32\userinit.exe, на C:\WINDOWS\system32\user.exe, а может лучше взять этот файл с нормальной машины и ничего не менять, здесь хэлперы лучше подскажут.

Так я и не понял в результате файл должен быть userinit.exe или user.exe ?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • grobique
      Вирус-вымогатель Grok
      От grobique
      Здравствуйте! Образовалась такая ситуация - имеется машина, на Win7 x64, подключенная к интернету. Из портов были открыты 80, 3389, и несколько иных для различных программ, типа 8000 для радио, 25565 для игры, и всё такое. В один прекрасный момент раздается звук перезагрузки системы, и в итоге имею диск зашифрованных файлов.
      Что имеется в архиве - один зашифрованный .bat файл, так же - его копия до сего происшествия, а так же один аудиофайл, так же в зашифрованном и нормальном виде. Само собой, "записочка" от авторов.
      Так же на другой машине Windows 10 очень огрызается на все исполняемые файлы, которые я копирую с зараженного компьютера, говорит десятка, что Neshta.A.
      Desktop.zip FRST.txt Addition.txt
    • C0c024
      Помощь с программой-вымогателем .elons
      От C0c024
      Меня атаковал вирус-вымогатель .elons, я хочу узнать больше информации об этом вредоносном ПО, поскольку то, что я видел на других форумах, решения не существует.Adición.txt  FRST.txt
    • Бека-Алматы
      шифровальщик-вымогатель
      От Бека-Алматы
      Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем
      файл приложил 
      ЛОГИ и файлы.zip
    • gentry
      шифровальщик-вымогатель elpaco-team
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • Melor
      Помощь в борьбе с шифровальщиками-вымогателями
      От Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
×
×
  • Создать...