СМС за разблокировку компьютера (информеры)
зайти на соседний комп в локальной сети и дистанционно редактировать реестр (если этот сервис не остановлен специально).
Да, надо попробовать, давно не заморачивался с реестром а уж удаленно…!😮 Да ещё сеть через VPN.
вменяемую персону
Да же не знаю что сложнее.😉
Все лечится в домашних условиях - путем редактирования реестра. Наберите в поисковике “Удаление рекламного банера” и будет Вам лекарство от головной боли.
Пример:
В меню Пуск->Выполнить->regedit
В редакторе реестра ->Правка->Найти пишем Adsub и поиск. Удаляем ключ с Adsubscribe.
Далее в правка жмем найти далее и повторяем процедуру. Поиск и удаление пока поиск в реестре не выдаст-“ничего не найдено”.
Все реклама больше не запустится. После в c:\Documents and Settings\Администратор\Application Data\ удаляем каталог AdSubscribe.
P.S Еще можно методом тыка - по очереди отключать строчки запуска и если сработало удаляем ее, а остальные оставляем в покое.
Удаленно подключился к реестру, в ветке указанной Андреем вирус нашел, исправил но после попытки войти на комп тоже окно с вирусом. Захожу опять в реестр вирус опять там прописан. Я так понимаю где-то ещё. К сожалению поиск по удаленному реестру почему то не работает, может из-за VPN . Может подскажите какие ветки ручками ещё можно посмотреть?
значит, еще где-то сидит эта сволочь…
А на удаленном компе какая Ось?
1 Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,
Эти меры должны помочь снять блокировку, но не избавят от зловреда.
Полностью вас избавит только переустановка с форматированием
А на удаленном компе какая Ось?
XP SP2
Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs … Запостить здесь
- пусто, т.е. параметр есть но значения нет
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение ключа Shell должно быть Explorer.exe
значение ключа Userinit должно быть Буква системного раздела:\WINDOWS\system32\userinit.exe,
Например, C:\WINDOWS\system32\userinit.exe,
Здесь все так, ну конечно вместо Explorer.exe был вирус
пусто, т.е. параметр есть но значения нет
напишите свое значение
Удалить получается ? напишите свое значение
Удалить, да удаляется. Значения нет. Просто строковый параметр тип REG_SZ и все.
Да
О результате отпишитесь … если нет по другому будем делать … если да избавлять вас будем от этой гадости
Здесь все так, ну конечно вместо Explorer.exe был вирус
когда первый раз смотрели, то просмотрели?
Или именно тут он и восстанавливается?
Если имеете ввиду попробовать удалить AppInit_DLLs, то попробовал. Не помогает все равно блокируется и перезаписывает Shell
когда первый раз смотрели, то просмотрели?
Или именно тут он и восстанавливается?
Не просмотрел, именно тут он и восстанавливается.
www.symantec.com/security_response/writeup.jsp?doc… у вас как с англиским ?
Ну если я все правильно понял это инструмент генерации кода по коду в сообщении. У меня в сообщении кода нет, только номер МТС.
AppInit_DLLs попробуйте дать значение 0000 00 00
У меня больше похоже на вот это securelist.com/…/Trojan-Ransom.Win32.PornoBlocker.…
Как правильно сделать ручками
reg add “hklm\software\microsoft\windows nt\currentversion\
winlogon” /v Shell /t reg_sz /d explorer.exe
или это и есть то что я правил
Это немножко другое
reg add “hklm\software\microsoft\windows nt\currentversion\
winlogon” /v Shell /t reg_sz /d explorer.exe
КАк комада выполница
Набираете shutdown -r -t 0
Толко я вам советую Потом просканиравать Norton 360 … он хорошо эту гадость отлавливает
Так у меня комп удаленный, всё что я могу сделать это подключится к реестру. Даже перегрузить его не могу, в этом наверно и есть проблема. Есть возможность его перегрузить либо по сети либо через RDP? Щас при подключении по RDP у меня не активна кнопка выключения-перезагрузки.
Да надо доступ к компу
Мля!!! Получилось!!!😃😃😃 Огромное спасибо всем за участие. Отдельно Андрею, за тему удаленного редактирования реестра. Век живи век учись, однако. Трабл был в том что у компа один юзер и он изначально был заблокирован. Понадобился один голимый юзер, знакомый с кнопкой Reset.
P.S. Есть реальный номер МТС, неужели нельзя его владельца взять за яйца?
P.S.2 Если кому надо в подробностях, пишите расскажу.
Надо всего навсего в МТС дозвонится и сообщить. )))
Да буте добры поделитесь инфой )))
Владимир, расскажите, конечно, плз.
Как я понял, проблема была только в ребуте? - Т.е. в том, что не удавалось его сделать дистанционно после правки?
А имя зловреда, который вместо эксплорера прописался запомнили/записали? - Хорошо бы и его теперь найти и искоренить. Хотя, он может быть и не один.