Вирус. Помогите пож.
- Автор темы k1876
- Дата начала
k1876,
http://support.kaspersky.ru/viruses/deblocker
http://virusinfo.info/deblocker/
http://www.drweb.com/unlocker/index/?lng=ru
он денех просит или чего ?
http://support.kaspersky.ru/viruses/deblocker
http://virusinfo.info/deblocker/
http://www.drweb.com/unlocker/index/?lng=ru
он денех просит или чего ?
k1876, если две - так всё проще. Ты же знаешь, когда примерно словил гадость? Вот и запусти поиск из Total Commander, ограничив по времени.
Где-то был на форуме пример, как я прибивал подобный информер, сейчас поищу.
ЗЫ Вот тут глянь:
http://rmm.su/showthread.php?t=63908
может, что пригодится
Где-то был на форуме пример, как я прибивал подобный информер, сейчас поищу.
ЗЫ Вот тут глянь:
http://rmm.su/showthread.php?t=63908
может, что пригодится
Последнее редактирование:
k1876,
Зайди в папку Documents and Settings\User (тут имя пользователя)\Application data\ - тут в корне они обычно сидят, но это если простой, если сложный, то так ты его не вытащишь.
Название обычно из цифр, расширение EXE .
Еще проверь папку system32 антивирусом. Еще в реестре проверь ключ WinLogon - часта там сидит, подмешивая стандартный файл userini.exe - кстати, попробуй его поменять на новый из дистрибутива.
Зайди в папку Documents and Settings\User (тут имя пользователя)\Application data\ - тут в корне они обычно сидят, но это если простой, если сложный, то так ты его не вытащишь.
Название обычно из цифр, расширение EXE .
Еще проверь папку system32 антивирусом. Еще в реестре проверь ключ WinLogon - часта там сидит, подмешивая стандартный файл userini.exe - кстати, попробуй его поменять на новый из дистрибутива.
Всё осложняется тем, что установить в систему сейчас ничего не удастся - нужно либо из другой системы, либо с LiveCD. Создатели порноинформеров блокируют любой антивирусный софт на уровне реестра.
k1876, руками так можно вычистить: качаешь http://live.sysinternals.com/autoruns.exe, ставишь в options галки Verify Image Signatures и Hide Microsoft and Windows Entries.
Потом сносишь очевидно левую дрянь)
Кстати, все последние разы, когда доводилось лечить блокеры - код оказывался совсем идиотским, что-то навроде 123456789 :girl_crazy:
Потом сносишь очевидно левую дрянь)
Кстати, все последние разы, когда доводилось лечить блокеры - код оказывался совсем идиотским, что-то навроде 123456789 :girl_crazy:
http://www.antiwinlocker.ru/ Бесплатный LiveCD. Потом, только не забудьте, просканировать антивирусом. Вчера знакомой ноут восстанавливал, работает.
Сейчас пошла волна блокеров, прячущиеся в загрузочных секторах винчестера, их так просто не выковоришь.
Проще (и надежнее) загрузиться из исправной системы, скачать с диска все ценное и переустановить зараженную систему с форматированием диска.
И, есессно, не забыть тут же сделать образ чистой системы Акронисом или чем-то подобным. В следующий раз из образа восстановишься за 10 минут.
Проще (и надежнее) загрузиться из исправной системы, скачать с диска все ценное и переустановить зараженную систему с форматированием диска.
И, есессно, не забыть тут же сделать образ чистой системы Акронисом или чем-то подобным. В следующий раз из образа восстановишься за 10 минут.
tarzan, Недавно такой лечил у клиента. Форматирование акронисом и последующие разбитие винча на 2 части не дало результата. Позвонил знакомому, он уже такой комп лечил. Он сказал что при установки вин 7 выбрал управление винчестиром, и там уже форматировал. Я так и сделал, и ву-а-ля. Вирусня исчезла. Пробовал еще партишином форматить, так тот вообще ругался на винт. Надеюсь скоро появиться более простой вариант решения, как удалить этот блокер.
Это странно. По идее, Акронис и ему подобные запоминают в образе все, включая загрузочные сектора.
ЗЫ: Сейчас эксперементирую с бесплатной утилитой Paragon Backup & Recovery 2011 (Advanced) Free
http://www.paragon-software.com/home/br-free/
там при выборе варианта бэкапа явно указывается бут-сектор
Будем посмотреть
BootRec.exe /fixmbr
BootRec.exe /FixBoot в консоли восстановления Win7 (просто fixmbr и fixboot в WinXP) ))).
На хабре сегодня хорошая, хоть и несколько банальная статья на тему: http://habrahabr.ru/blogs/sysadm/122670/
Всем ку!
Вот последний "писк моды" 22CC6C32.exe - делает подмену файлов....
Загрузился с загрузочного комплекта Win PE, в принципе любая загрузочная абракадабра подойдет, лишь бы был доступ к файлам.
Удалил файлы:
22CC6C32.exe из папки «Documents and Settings\All Users\Application Data\»
userinit.exe из папки windows/system32
Восстановил нормальный userinit.exe из файла «03014D3F.exe» который валялся тут же в windows/system32 (просто переименовал).
Заходим в реестр Вашей винды и меняем значение параметра Shell на "Explorer.exe", userinit на "C:\Windows\system32\userinit.exe,"(внимание, запятая важна!) которые находятся в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Перезагрузился и проверяем на вирусы...
С уважением Алексей.....
Вот последний "писк моды" 22CC6C32.exe - делает подмену файлов....
Загрузился с загрузочного комплекта Win PE, в принципе любая загрузочная абракадабра подойдет, лишь бы был доступ к файлам.
Удалил файлы:
22CC6C32.exe из папки «Documents and Settings\All Users\Application Data\»
userinit.exe из папки windows/system32
Восстановил нормальный userinit.exe из файла «03014D3F.exe» который валялся тут же в windows/system32 (просто переименовал).
Заходим в реестр Вашей винды и меняем значение параметра Shell на "Explorer.exe", userinit на "C:\Windows\system32\userinit.exe,"(внимание, запятая важна!) которые находятся в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Перезагрузился и проверяем на вирусы...
С уважением Алексей.....
Последнее редактирование: