buraleks 0 Опубликовано 4 мая, 2012 Share Опубликовано 4 мая, 2012 (изменено) Помогите пожалуйста вылечить червя, сканирую касперским находит удаляет но при загрузке в приветствии виндовса вместо рабочего стола появляется табличка заплатите 500Р и тогда разблокируем доступ (кроме окошка ничего нет, только цифры для пароля кода от смс). Как не пробовал не получается. НЕ прочитал ваше правило, сейчас все сделаю и добавлю информацию. Изменено 4 мая, 2012 пользователем buraleks Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 4 мая, 2012 Share Опубликовано 4 мая, 2012 НЕ прочитал ваше правило, сейчас все сделаю и добавлю информацию. Мы ждем...! Цитата Ссылка на сообщение Поделиться на другие сайты
buraleks 0 Опубликовано 4 мая, 2012 Автор Share Опубликовано 4 мая, 2012 Мы ждем...! НЕ получается, т.к не дает загрузить систему не в безопасном режиме ни в рабочем режиме Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 мая, 2012 Share Опубликовано 4 мая, 2012 вместо рабочегостола появляется табличка заплатите 500Р и тогда разблокируем доступ (кроме окошка ничего нет, только цифры для пароля кода от смс) а на какой номер? Цитата Ссылка на сообщение Поделиться на другие сайты
buraleks 0 Опубликовано 4 мая, 2012 Автор Share Опубликовано 4 мая, 2012 НЕ получается, т.к не дает загрузить систему не в безопасном режиме ни в рабочем режиме Вирус пришел с этого сайта movieworld.kz там первый фильм пытался посмотреть подробнее в описании. а на какой номер? Сотовый номер МТС Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 мая, 2012 Share Опубликовано 4 мая, 2012 сканирую касперским Kaspersky Rescue Disk ? Цитата Ссылка на сообщение Поделиться на другие сайты
buraleks 0 Опубликовано 4 мая, 2012 Автор Share Опубликовано 4 мая, 2012 Вирус пришел с этого сайта movieworld.kz там первый фильм пытался посмотреть подробнее в описании. Сотовый номер МТС Пишет через 12 часов после запуска информация будет стерта с компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 мая, 2012 Share Опубликовано 4 мая, 2012 Сотовый номер МТС напишите номер. Цитата Ссылка на сообщение Поделиться на другие сайты
buraleks 0 Опубликовано 4 мая, 2012 Автор Share Опубликовано 4 мая, 2012 Kaspersky Rescue Disk ? Дело в том что не дает ничего подгрузить или войти в систему. напишите номер. А это поможет? Тогда сейчас буду смотреть номер. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 мая, 2012 Share Опубликовано 4 мая, 2012 I этап (выполняется на чистой от вирусов машине) 1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт) 2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости II этап (выполняется на заблокированной машине) 1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки) 2. Вставляете диск в привод (или подключаете флешку) и загружаетесь: – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter – выберите необходимый язык из списка – нажмите 1, чтобы принять лицензионное соглашение – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола 3. Запустите Kaspersky Registry Editor 4. Откроется редактор реестра – выберите нужную систему (та, которая заблокирована), если у Вас их несколько – посмотрите в реестре: ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр userinit параметр shell Значения этих параметров напишите в своем сообщении Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
buraleks 0 Опубликовано 4 мая, 2012 Автор Share Опубликовано 4 мая, 2012 (изменено) Раскрывающийся текст: I этап (выполняется на чистой от вирусов машине) 1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт) 2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости II этап (выполняется на заблокированной машине) 1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки) 2. Вставляете диск в привод (или подключаете флешку) и загружаетесь: – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter – выберите необходимый язык из списка – нажмите 1, чтобы принять лицензионное соглашение – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола 3. Запустите Kaspersky Registry Editor 4. Откроется редактор реестра – выберите нужную систему (та, которая заблокирована), если у Вас их несколько – посмотрите в реестре: ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр userinit параметр shell Значения этих параметров напишите в своем сообщении Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению. Сообщение от модератора Roman_Five не цитируйте полностью сообщения, пожалуйста Спасибо, сейчас буду пробовать. А кто нибудь сталкивался с таким червем? В интернете нигде не нашел описания и лечения. p.s скачиваю... Kaspersky Rescue Disk Раскрывающийся текст: не цитируйте полностью сообщения, пожалуйста Спасибо, сейчас буду пробовать. А кто нибудь сталкивался с таким червем? В интернете нигде не нашел описания и лечения. p.s скачиваю... Kaspersky Rescue Disk Сделал экспорт веток но.. они сохраняются не известно куда и я не могу их сохранить на флешке или носителе. Номер телефона вируса +79879585320 МТС ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр userinit - lsass.exe параметр shell - explorer.exe Изменено 4 мая, 2012 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 мая, 2012 Share Опубликовано 4 мая, 2012 (изменено) ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogonпараметр userinit - lsass.exe необходимо изменить параметр userinit на правильный - C:\Windows\system32\userinit.exe, обратите внимание - в конце должны быть запятая. вот инструкция - http://forum.kaspersky.com/index.php?showtopic=222075 загрузившись в обычном режиме сделайте логи по правилам. Изменено 4 мая, 2012 пользователем Roman_Five не тот слэш Цитата Ссылка на сообщение Поделиться на другие сайты
buraleks 0 Опубликовано 4 мая, 2012 Автор Share Опубликовано 4 мая, 2012 (изменено) Сделал как вы сказали, "необходимо изменить параметр userinit на правильный - C:\Windows\system32\userinit.exe," все равно не грузится система. Прикрепляю ветки реестра во вложении. Удалось вытащить. 111.rar Изменено 4 мая, 2012 пользователем buraleks Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 мая, 2012 Share Опубликовано 5 мая, 2012 также удалите записи в ветке [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "S1109330"="C:\\Documents and Settings\\Администратор\\ms.exe" "S17319531"="C:\\Documents and Settings\\Администратор\\ms.exe" в обычном режиме сделайте логи по по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 мая, 2012 Share Опубликовано 5 мая, 2012 Файл C:\Documents and Settings\Администратор\ms.exe также рекомендую переместить в любую другую папку, т.к. могут оказаться и другие ключи, которые его запускают Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.