Помогите избавиться от вируса, пожалуйста)
попробуй воспользоваться услугами этого сайта: http://virusinfo.info/index.php
мне они пару раз помогали, рекомендации дают довольно быстро и бесплатно.
мне они пару раз помогали, рекомендации дают довольно быстро и бесплатно.
большое спасибо 
сейчас попробую)
сейчас попробую)
1. Загрузится с live cd или подцепить винт к другому компу
2. Загрузить куст в регедит из \windir\system32\config\software - это будет соответствовать ветке HKLM\Software (то есть в любом случае нужна машина с виндой, на которую передать этот файл, или наличие на livecd иксов, wine и regedit.exe)
3. Посмотреть ветки HKLM\Software\Microsoft\CurrentVersion\Run,
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon - тут нада обратить внимание на параметры Userinit и Shell. Обычно такая вирусня подменяет что то из этих двух. Исправить на нормальные значения (explorer.exe и userinit.exe - с путями)
4. Сохранить и закинуть обратно измененный файл реестра
5. Удалить из зараженной системы зловредную бяку (где она лежит - известно с пункта 3).
6. Загрузить машину.
7. PROFIT
2. Загрузить куст в регедит из \windir\system32\config\software - это будет соответствовать ветке HKLM\Software (то есть в любом случае нужна машина с виндой, на которую передать этот файл, или наличие на livecd иксов, wine и regedit.exe)
3. Посмотреть ветки HKLM\Software\Microsoft\CurrentVersion\Run,
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon - тут нада обратить внимание на параметры Userinit и Shell. Обычно такая вирусня подменяет что то из этих двух. Исправить на нормальные значения (explorer.exe и userinit.exe - с путями)
4. Сохранить и закинуть обратно измененный файл реестра
5. Удалить из зараженной системы зловредную бяку (где она лежит - известно с пункта 3).
6. Загрузить машину.
7. PROFIT
спасибо)
только я совсем не шарю и поэтому половину не поняла =)
в частности что за кусты, как и куда их загружать и какие параметры нормальны для 3 пункта)
подожду ответа из вирус.инфо, может там разжуют как для дебилов )
только я совсем не шарю и поэтому половину не поняла =)
в частности что за кусты, как и куда их загружать и какие параметры нормальны для 3 пункта)
подожду ответа из вирус.инфо, может там разжуют как для дебилов )
Помогите избавиться от вируса, пожалуйста)http://www.ubuntu.com/download/ubuntu/download
спасибо, но у меня вроде есть загрузочный диск, который хоть как-то работает
у ноута похоже серьезные проблемы с дисководом, запорол кучу дисков, идти покупать тогда надо)
скажи кто-нибудь, пожалуйста, вот на вирус.инфо мне все пишут
Предписание 4: Выполнить исследование HijackThis
Предписание 5: Выполнить исследование GMER
и прочими утилитами..
но ведь все это имеет смысл делать только в зараженной системе, а не с загрузочного диска?
по крайней мере с выполнением скрипта в авз получилась какая-то хрень, комп не перезагрузился и папки с отчетом не создалось)
у ноута похоже серьезные проблемы с дисководом, запорол кучу дисков, идти покупать тогда надо)
скажи кто-нибудь, пожалуйста, вот на вирус.инфо мне все пишут
Предписание 4: Выполнить исследование HijackThis
Предписание 5: Выполнить исследование GMER
и прочими утилитами..
но ведь все это имеет смысл делать только в зараженной системе, а не с загрузочного диска?
по крайней мере с выполнением скрипта в авз получилась какая-то хрень, комп не перезагрузился и папки с отчетом не создалось)
В редакторе реестра есть такой пункт меню "Загрузить куст". Там предлагается выбрать файл и имя куста. Имя можно выбрать любое (Например "Куст1") - а вот файл нужно подкинуть с зараженной машины из \windir\system32\config\ файл software без расширения (это для XP. Для висты и семерки мб путь другой, хотя скорее всего такой же). После этого в редакторе реестра будет ветка "Куст1" соответствующая ветке реестра hklm\software зараженной машины.
В ней нужно посмотреть что за гадость поселилась (в ветках перечисленных в пунктах 3). Удалить её с зараженной системы руками (опять же с live cd или при подключенном к другой машине винте из CurrentVersion\run тупо всё удалить лишние (можно тупо всё а в WinLogon заменить Shell и Userinit - на стандратные значения (для XP это explorer.exe и C:\windows\system32\userinit.exe. Для висты и семерки мб другие, хотя вроде теже). Потом, исправленный файл software положить обратно на зараженную машину, туда же откуда взяли.
Обычно, после этого, комп оживает.
В ней нужно посмотреть что за гадость поселилась (в ветках перечисленных в пунктах 3). Удалить её с зараженной системы руками (опять же с live cd или при подключенном к другой машине винте из CurrentVersion\run тупо всё удалить лишние (можно тупо всё а в WinLogon заменить Shell и Userinit - на стандратные значения (для XP это explorer.exe и C:\windows\system32\userinit.exe. Для висты и семерки мб другие, хотя вроде теже). Потом, исправленный файл software положить обратно на зараженную машину, туда же откуда взяли.
Обычно, после этого, комп оживает.
в общем да, это надо делать из зараженной системы.
а ты в нее никак попасть не можешь?
а ты в нее никак попасть не можешь?
спасибо большое)
сейчас буду пробовать с этим разобраться..
сейчас буду пробовать с этим разобраться..
ну, попасть-то могу, но там все заблокировано)
даже мышкой только в пределах баннера двигать можно
в безопасном режиме тоже..
даже мышкой только в пределах баннера двигать можно
в безопасном режиме тоже..
что нибудь из
Alt-F4
Alt-Ctrl-Del
Shift-Ctrl-Esc
alt-tab
Win-D
Win-R
работает?
клавиатурой в пуск залезть можешь?
cmd выполнить можешь?
Alt-F4
Alt-Ctrl-Del
Shift-Ctrl-Esc
alt-tab
Win-D
Win-R
работает?
клавиатурой в пуск залезть можешь?
cmd выполнить можешь?
ничего из этого не могу)
востанови винду, востановочным диском с виндой 
http://support.kaspersky.com/viruses/rescuedisk/main?qid=208...недавно пробовал касперского и дрвеба лайвсиди против винлока - не помогли.
спасибо, но у меня вроде есть загрузочный диск, который хоть как-то работаетrescue-disk не просто загрузочный, там можно будет обновить антивирусные базы и проверить комп
у ноута похоже серьезные проблемы с дисководом, запорол кучу дисков, идти покупать тогда надо)
на диск записывать не надо — можно и на флешку
недавно пробовал касперского и дрвеба лайвсиди против винлока - не помогли.против какого из?
какая система? не помню, в прошлом году что то похожее с банером было на вин 7, но не так жестко все обрубал, так его получалось игнорировать если зажимать вместе клавишу виндовс!
P.S. выглядит как то так
P.S. выглядит как то так
А в том что писал ""
поможет в части разобраться наглядная статья с картинками пунктов 5 - 6 первых...
1. Загрузится с live cd или подцепить винт к другому компу
2. Загрузить куст в регедит из \windir\system32\config\software - это будет соответствовать ветке HKLM\Software (то есть в любом случае нужна машина с виндой, на которую передать этот файл, или наличие на livecd иксов, wine и regedit.exe)
3. Посмотреть ветки HKLM\Software\Microsoft\CurrentVersion\Run,
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon - тут нада обратить внимание на параметры Userinit и Shell. Обычно такая вирусня подменяет что то из этих двух. Исправить на нормальные значения (explorer.exe и userinit.exe - с путями)
4. Сохранить и закинуть обратно измененный файл реестра
5. Удалить из зараженной системы зловредную бяку (где она лежит - известно с пункта 3).
6. Загрузить машину.
7. PROFIT
поможет в части разобраться наглядная статья с картинками пунктов 5 - 6 первых...
против какого из?а хер его знает. который просит баланс мобилы пополнить при загрузке системы. так как они ничего не нашли - то и названия у меня нет. а комп я уже отдал, файлик себе забыл скопировать.
ерд коммандер как всегда спас. дрянь как обычно сидела в юзеринит.
я тормоз, но благодаря вашим советам таки починилась )
спасибо огромное =)
если кому вдруг любопытно потестить - могу выслать последнюю ссылку после которой все сломалось в пм
спасибо огромное =)
если кому вдруг любопытно потестить - могу выслать последнюю ссылку после которой все сломалось в пм
давай
Оставить комментарий
kroska095
Trojan.Winlock.3314Блокирует все что можно, в безопасном режиме тоже)
Кодов разблокировки не существует..
Не знаю почему, но у меня не работает ни куреит, ни докторвебовские загрузочные диски, загрузилась с alkid чего-то там) Видело предположение, что железо не поддерживает докторвебовские штуки, но это как-то странно. Может я что-то не так с куреитом делаю, но у меня после его включения неактивны галочки, где "быстрая проверка", "полная проверка" и внизу часами остается надпись "подготовка к сканированию".
Скачала авз, но он давно не обновлялся и с ним у меня тоже проблемы)
Сканирует вроде нормально, в тычке с лечением отмечены два перехватчика KernelMode, которые вроде бы надо удалить, один удаляется, а для второго пишет, что необходима перезагрузка, а после перезагрузки он снова появляется и так по циклу (
Впрочем даже после удаления я так поняла нужно чистить данные в реестре, а как именно и что там делать я не знаю. Объясните, пожалуйста =)
Видела, что если что-то не так сделать и не до конца удалить, то вирус может наворотить там всего нехорошего и поможет только переустановка.
лог авз по системному диску:
Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 13.06.2011 16:02:13
Загружена база: сигнатуры - 278154, нейропрофили - 2, микропрограммы лечения - 56, база от 25.08.2010 16:40
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 6602BCB3<>7C801D77
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80482B80
KiST = 8040BD20 (284)
Функция NtAllocateVirtualMemory (11) перехвачена (80491777->F569B088 перехватчик X:\i386\system32\drivers\dwprot.sys
Функция NtClose (19) перехвачена (804905D9->F6372818 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80498063->F63727D0 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtCreatePagingFile (2D) перехвачена (804E69D8->F6366A20 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (804A8262->F569C1E0 перехватчик X:\i386\system32\drivers\dwprot.sys
Функция NtEnumerateKey (47) перехвачена (8049876A->F63672A8 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (804A91FE->F6372910 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (80491FC4->F569B306 перехватчик X:\i386\system32\drivers\dwprot.sys
Функция NtOpenKey (77) перехвачена (804914D5->F6372794 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (8049F6CC->F569AED2 перехватчик X:\i386\system32\drivers\dwprot.sys
Функция NtQueryKey (A0) перехвачена (80498473->F63672C8 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (804949A8->F6372866 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (804A9A00->F569C2E2 перехватчик X:\i386\system32\drivers\dwprot.sys
Функция NtSetContextThread (D5) перехвачена (8055585B->F569C32E перехватчик X:\i386\system32\drivers\dwprot.sys
Функция NtSetSystemPowerState (F1) перехвачена (8058F08F->F63720B0 перехватчик X:\i386\System32\DRIVERS\d347bus.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (8057172D->F569AE00 перехватчик X:\i386\system32\drivers\dwprot.sys
Функция NtWriteVirtualMemory (115) перехвачена (804A5123->F569B416 перехватчик X:\i386\system32\drivers\dwprot.sys
Проверено функций: 284, перехвачено: 17, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 16
Количество загруженных модулей: 139
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP NameSpace: В описании отсутствует количество пространств имен
Ошибка LSP Protocol: В описании отсутствует количество протоколов
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации COM файлов
>> Нарушение ассоциации REG файлов
>> Модифицированы префиксы протоколов
>> Заблокирована возможность завершения сеанса
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирован доступ к настройкам принтеров
>> Меню Пуск - заблокированы элементы
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск с