Перейти к содержанию
Правила раздела

Как вылечить вирус Worm.Win32.AutoRun.bszz

buraleks

От buraleks
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

buraleks Новичок

buraleks

Опубликовано
Опубликовано (изменено)

Помогите пожалуйста вылечить червя, сканирую касперским находит удаляет но при загрузке в приветствии виндовса вместо рабочего

стола появляется табличка заплатите 500Р и тогда разблокируем доступ (кроме окошка ничего нет, только цифры для пароля кода от смс). Как не пробовал не получается.

 

НЕ прочитал ваше правило, сейчас все сделаю и добавлю информацию.

Изменено пользователем buraleks
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 32
  • Created
  • Последний ответ

Top Posters In This Topic

  • buraleks

    17

  • Roman_Five

    8

  • icotonev

    4

  • thyrex

    3

Popular Days

Top Posters In This Topic

Popular Days

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
вместо рабочего

стола появляется табличка заплатите 500Р и тогда разблокируем доступ (кроме окошка ничего нет, только цифры для пароля кода от смс)

а на какой номер?

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано
НЕ получается, т.к не дает загрузить систему не в безопасном режиме ни в рабочем режиме

 

Вирус пришел с этого сайта movieworld.kz там первый фильм пытался посмотреть подробнее в описании.

 

а на какой номер?

 

Сотовый номер МТС

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано
Вирус пришел с этого сайта movieworld.kz там первый фильм пытался посмотреть подробнее в описании.

 

 

 

Сотовый номер МТС

 

 

Пишет через 12 часов после запуска информация будет стерта с компьютера.

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано
Kaspersky Rescue Disk ?

 

 

Дело в том что не дает ничего подгрузить или войти в систему.

 

:)

напишите номер.

 

А это поможет? Тогда сейчас буду смотреть номер.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

I этап (выполняется на чистой от вирусов машине)

 

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)

2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

 

II этап (выполняется на заблокированной машине)

 

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)

2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:

– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter

– выберите необходимый язык из списка

– нажмите 1, чтобы принять лицензионное соглашение

– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола

3. Запустите Kaspersky Registry Editor

4. Откроется редактор реестра

– выберите нужную систему (та, которая заблокирована), если у Вас их несколько

– посмотрите в реестре:

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit

параметр shell

Значения этих параметров напишите в своем сообщении

 

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано (изменено)

Раскрывающийся текст:

I этап (выполняется на чистой от вирусов машине)

 

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)

2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

 

II этап (выполняется на заблокированной машине)

 

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)

2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:

– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter

– выберите необходимый язык из списка

– нажмите 1, чтобы принять лицензионное соглашение

– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола

3. Запустите Kaspersky Registry Editor

4. Откроется редактор реестра

– выберите нужную систему (та, которая заблокирована), если у Вас их несколько

– посмотрите в реестре:

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit

параметр shell

Значения этих параметров напишите в своем сообщении

 

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

 

Сообщение от модератора Roman_Five
не цитируйте полностью сообщения, пожалуйста

 

Спасибо, сейчас буду пробовать.

 

А кто нибудь сталкивался с таким червем? В интернете нигде не нашел описания и лечения.

 

p.s скачиваю... Kaspersky Rescue Disk

 

Раскрывающийся текст:

 

 

не цитируйте полностью сообщения, пожалуйста

 

Спасибо, сейчас буду пробовать.

 

А кто нибудь сталкивался с таким червем? В интернете нигде не нашел описания и лечения.

 

p.s скачиваю... Kaspersky Rescue Disk

 

 

Сделал экспорт веток но.. они сохраняются не известно куда и я не могу их сохранить на флешке или носителе.

 

Номер телефона вируса +79879585320 МТС

 

 

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit - lsass.exe

параметр shell - explorer.exe

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit - lsass.exe

необходимо изменить параметр userinit на правильный - C:\Windows\system32\userinit.exe,

обратите внимание - в конце должны быть запятая.

вот инструкция - http://forum.kaspersky.com/index.php?showtopic=222075

 

загрузившись в обычном режиме сделайте логи по правилам.

Изменено пользователем Roman_Five
не тот слэш
Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано (изменено)

Сделал как вы сказали, "необходимо изменить параметр userinit на правильный - C:\Windows\system32\userinit.exe,"

все равно не грузится система.

 

Прикрепляю ветки реестра во вложении. Удалось вытащить.

111.rar

Изменено пользователем buraleks
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

также удалите записи в ветке

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"S1109330"="C:\\Documents and Settings\\Администратор\\ms.exe"
"S17319531"="C:\\Documents and Settings\\Администратор\\ms.exe"

 

в обычном режиме сделайте логи по по правилам.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Файл C:\Documents and Settings\Администратор\ms.exe также рекомендую переместить в любую другую папку, т.к. могут оказаться и другие ключи, которые его запускают

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Belzak
      [РЕШЕНО] Не могу вылечить вирус
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
×
×
  • Создать...