Изображения
Сообщение от :
Теперь, собственно про лечение. Способов по идее много, но я расскажу, как это сделать по сети, не подходя к жертве и не мучаясь с тем, как разобраться с этим окошком (это, кстати помогает и против других вирусов).
Все дальнейшие действия делаются с другого компьютера:
Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).
Убиваем его через taskill /s computer_name /pid process_id
Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System, DisableTaskMgr
Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.
В общем всё просто, а главное со своего рабочего места. Естественно на компьютере не должны быть зафаирволлен удалённый доступ, не отключен удалённый реестр.
И напоследок, немного из другой области: в случае заражения вирусами компьютера, рекомендую по-возможности сканировать его с другой машины, тоже по сети. Неоднократно были прецеденты, когда вирус пудрил мозги антивирусам изображая своё отсуствие, а другому компьютеру это естественно у него не получалось.
Сообщение от Fuksa:
Homer S., на сайте хрюши попробывать ключики
Сообщение от Fuksa:
или попоробывать запустить систему с диска
Сообщение от Fuksa:
а вот еси с буком проблемы, то скачать фичу и через нее отлочить))
Сообщение от Fuksa:
зы. такой большой, а все туда же))) и что же на мониторе за картинка??)))))))))
Сообщение от marat:
Способов по идее много, но я расскажу, как это сделать по сети, не подходя к жертве и не мучаясь с тем, как разобраться с этим окошком (это, кстати помогает и против других вирусов).
Сообщение от marat:
Homer S.,картинку давай
Сообщение от marat:
Homer S., номер и текст сообщения, которое предлагается отправить:
Сообщение от marat:
Homer S., Ctrl+Alt+Shift+H
Сообщение от Petrogen:
еперный театр! что с форумом случилось!(
Сообщение от marat:
Homer S.,ты пробуй, их на самом деле не так много как думаешь
Сообщение от :
Так вот, делаем следующее:
1. Запускаем винду. Когда хуита вымогателей загрузилась, нажимаем Win+U (есичо, Win - это кнопочка со значком виндоуз, обычно вызывающая Пуск). Это вызывает диспетчер специальных возможностей (экранная лупа и экранная клавиатура). У него более высокий приоритет, и он выскочит поверх хуиты. Выбираем экранную лупу и нажимаем кнопочку "запустить".
2. Появляется еще одно диалоговое окно "экранная лупа" с описанием. Там же есть ссылка "Веб-узел Майкрософт". Тыкаем на ссылку. Открывается браузер. Вуаля - полдела сделано!
3. Если ваш комп автоматически подключается к интернету - хорошо. Если нет - лезем в меню браузера "Файл - открыть файл". Выходим в диск С, нажимаем правую кнопку мыши и выбираем "Открыть". Через стандартный поиск винды ищем "сетевые подключения". Когда желтая псинка выдает сетевые подключения, открываем их и подключаемся к сети.
4. Качаем утилиту от Доктора Веба, вот эту.
5. Открываем far-manager (если нет - качаем фар и запускаем). Находим в папке C/Windows/system32 файл user32.exe именно .exe, user32.dll и user.exe - не трогаем! Удаляем на*** user32. Если не удаляется, качаем из сети Unlocker и удаляем юзера после установки анлокера. Если не помогает - загружаемся в безопасном режиме, выполняем пункты 1-3 и пробуем удалить снова.
6. Запускаем утилиту от др. веба. Перезагружаемся.
7. Итак, диспетчер задач разблокирован, права администратора восстановлены. Но! Лично у меня выскочил голый рабочий стол, а попытка запустить explorer.exe завершилась выскочившим окном проводника. (Ну да, это ж и есть эксплорер.экзе, ага). Так что придется лезть в реестр.
Вызываем диспетчер задач (Ctrl+Alt+Del), выбираем вверху пункт "Выполнить" и в строку вводим: regedit. Открывается редактор реестра. Реестр ламеру не игрушка, поэтому действуем строго по инструкции.
Открвываем HKEY_LOCAL_MACHINE\Software\Microsoft\Current version\Winlogon (тычем именно на папку винлогон, а не на те, что открылись под нею)
В списке напротив ищем Shell, тычем на него 2 раза левой кнопкой мыши. Открывается диалоговое окно с предложением изменить значение. Так вот, в shell значение должно быть только одно: explorer.exe. Удаляем к едрене-фене неведомую хуиту, которую прописал вирус, ставим explorer.exe
8. Перезагружаемся. Теперь все должно работать. Но во избежание откатываем систему до наиболее раннего состояния. (К примеру, если вы подхватили вирь два дня назад, откатите систему на месяц назад).
9. Делаем полную проверку компа антивирем.
Сообщение от Kamelia:
какой ужас (((((
Сообщение от Homer S.:
мы фсе умремммммммм!!
Сообщение от marat:
Homer S., а что чинить, систему переставь
Сообщение от marat:
семёрка сейчас ставится быстрее чем хрюша
