"windows заблокирован!" !
Ни надо ни каких танцов с бубном тем более отправки смс, все гараздо проще…
Все дело в том что пакостью меняется целостность ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
а именно ключей:
Shell и Userinit
значения этих ключей в рабочем виде следующие:
explorer.exe
и
C:\Windows\system32\userinit.exe,
соответственно
как показывает практика новое значение ключа Shell будет указывать на место расположения гадости
Шаги решения проблемки (буквы дисков мой случай):
Или грузим локальный комп с внешней винды (LiveCD к примеру) или подключаем зараженный винт на живой комп…
- открываем редактор реестра regedit
- выделяем ветку HKEY_LOCAL_MACHINE
- меню Файл-Загрузить куст
- открываем подключенный зараженный диск с виндой (G:\Windows\System32\config) нас интересует файлик SOFTWARE (это и есть необходимая нам ветка реестра зараженной винды)
- обзываем загружаемый куст к примеру 11111 и открываем следующую ветку в редакторе реестра HKEY_LOCAL_MACHINE\11111\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
смотрим ключ Shell, и вот она наша гадость
C:\Users\Гость3\AppData\Local\Microsoft\Windows\Te mporary Internet Files\Content.IE5\TYOX299T\xxx_video_24658.avi[1].exe (это мой случай имя конечного файла и его расположение может быть другим)
по умолчанию этот ключ Shell должен содержать explorer.exe и ни чего более. - полностью очищаем папку на подключенном диске G:\Users\Гость3\AppData\Local\Microsoft\Windows\Te mporary Internet Files
- меняем значение ключа Shell на explorer.exe
- меню Файл-Выгрузить куст, этим самым сохраняем изменения в реестре винды на подключенном диске
удаляем по указанному пути гадость, перегружаемся в нормальном режиме (либо ставим вылеченный диск обратно) и спокойно работаем дальше
на все про все уходит 10-15 минут, данный вид гадости не умеет распространятся локально на компе, так что не надо боятся если вы зараженный винт поставите на живой комп
иногда это лечится еще проще - достаточно в настройках BIOS (правильней CMOS) переводим часы на годик вперед и гадость при загрузке самоуничтожается, но это редкость
Хоть и не один раз бился с этой бедой, но видимо недостаточно регулярно, каждый раз время на вспомнить все много уходит. А тут все толково, по полочкам… Теперь буду знать где подсмотреть, спасибо… 😃
Добавлю, иногда заражаются сами userinit и explorer и их приходится восстанавливать.
Бывает еще после лечения остаются блокированными task manager и regedit и требуется их разблокировка (не помню как) .
Бывает еще после лечения остаются блокированными task manager и regedit и требуется их разблокировка
там же в реестре, дотаточно в cmd запустить следующие команды:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0
Зачем-то, что-то еще в политиках приходилось править…
да есть в локальных полтиках возможность наложения запрета на редактирование реестра и вообще доступа к нему, реестр и политики оч интересная штука
А вот мне попался блокировщик, который реестры не портил, он тупо прописался в автозагрузку и подменил служебный виндовый файл.
Однако погиб он быстро и красиво, всего то он полез что-то править в какой-то службе, на чем был пойман за руку Оутпостом, сам его процесс был тут же убит.
ДокторВеб нашел и убил трояна в служебном файле…
А вот дальше я допустил ошибку - нажал перезагрузку (типа все удалено вредное) - а файл то не восстановлен! Пришлось все равно загружаться с внешнего носителя…
Или грузим локальный комп с внешней винды (LiveCD к примеру) или подключаем зараженный винт на живой комп…
Самый простой путь - использовать в качестве LiveCD ERD Commander. Он при загрузке спрашивает, какая копия виндовс рабочая, и автоматически подключает ее реестр. Достаточно просто запустить редактор реестра, и откроется на редактирование именно ваш реестр, а не реестр диска с которого грузились. Не знаю, может есть и другие LiveCD, которые могут работать с удаленным реестром, ERD просто самый распространенный и удобный в работе.
PS Александр(Luka), с какого Железногорска? Случайно не Курской области? А то я тоже почти от туда…
Ну вот что ты будешь править в реестре, если у тебя вместо служебной dll-ки без которой винда не запускается, сидит троян злобный?
если у тебя вместо служебной dll-ки без которой винда не запускается, сидит троян злобный?
А не надо работать в системе под пользователем с админскими правами! Да и поменьше всяких кряков, ломалок надо запускать.
А не надо работать в системе под пользователем с админскими правами!
Мы для компьютера или компьютер для нас?
И не надо думать что трояну не по зубам админские права… Справляется легче, чем мы потом, когда чиним последствия.
… создают порносайты и подсаживают на компы посетителей
да нет,они не создают,они -ЗАРАЖАЮТ.В надеже что отвадят любопытных…
PS Александр(Luka), с какого Железногорска? Случайно не Курской области? А то я тоже почти от туда…
Владислав я с Красноярского края!
А не надо работать в системе под пользователем с админскими правами!
Поддержу Владимира, пакости пофиг какой профиль загружен хоть с админскими правами хоть с гостевыми
Поддержу Владимира, пакости пофиг какой профиль загружен хоть с админскими правами хоть с гостевыми
Не буду с вами спорить, продолжайте и дальше ходить по граблям 😉
Виктор, раз ты в этой теме отметился, значит не смотря на свою “правильность” с твоей точки зрения, на эти “наши” грабли ты тоже наступил…
на эти “наши” грабли ты тоже наступил…
Нет я просто примусы починяю 😃
ЗЫ. Пока я всех своих пользователей не выкинул из админов на компах(больше 200), бегал как угарелый почти каждый день, а теперь уже около 3 лет никаких проблем.
Пока я всех своих пользователей не выкинул из админов на компах(больше 200),
И кто ж их всех определил админами?
Torvic99
С таким количеством юзверей это сродни самоубийству кому то давать админские права, в домен и жесткие политики! Или хотя бы этому привилегированному юзверю гостевой доступ в домен, а иначе так и придется бегать!
Без обид!