( Вход | Регистрация | Поиск )
Последствия после вируса (вымогателя xxx_video), Windows
Стандартный · [ Линейный ]
Дата обновления: 14.01.2011 - 14:43, перейти к новому сообщению
После удаления вируса вымогателя (имя файла xxx_video_цифры), на рабочем столе появляется только синий фон и мышка, все работает, но только через диспетчер задач, контекстное меню не работает... восстановление через avz не помогло... служба восстановления системы отключена... explorer.exe не загружается, но в системе есть... может у кого есть какие идеи?
Ответов(1 - 9)
D:\Windows\System32\drivers\etc
почисть её.уверен,там кое что изменилось.
Найди ветку HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Windows — в нем параметр AppInit_DLLs и удали его значение (не удаляй сам параметр AppInit_DLLs).
Потом найди ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon — в нем будет параметр Userinit — открой и удали все, что идет после запятой (ни в коем случае не удаляй «C:\Windows\system32\userinit.exe»)
Проверь,чтобы значение параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell было explorer.exe;
восстановление системы как я понимаю не работает?
на крайний случай ищи диск с системой.
удачи.
почисть её.уверен,там кое что изменилось.
Найди ветку HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Windows — в нем параметр AppInit_DLLs и удали его значение (не удаляй сам параметр AppInit_DLLs).
Потом найди ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon — в нем будет параметр Userinit — открой и удали все, что идет после запятой (ни в коем случае не удаляй «C:\Windows\system32\userinit.exe»)
Проверь,чтобы значение параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell было explorer.exe;
восстановление системы как я понимаю не работает?
на крайний случай ищи диск с системой.
удачи.
в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
исправь значение строкового REG_SZ-параметра Userinit на C:WINDOWS\system32\userinit.exe
и в этом же разделе исправь значение строкового REG_SZ-параметра Shell на Explorer.exe
исправь значение строкового REG_SZ-параметра Userinit на C:WINDOWS\system32\userinit.exe
и в этом же разделе исправь значение строкового REG_SZ-параметра Shell на Explorer.exe
Цитата | Quote(mirex420 @ 9.01.2011 - 17:33)
в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
исправь значение строкового REG_SZ-параметра Userinit на C:WINDOWS\system32\userinit.exe
и в этом же разделе исправь значение строкового REG_SZ-параметра Shell на Explorer.exe
исправь значение строкового REG_SZ-параметра Userinit на C:WINDOWS\system32\userinit.exe
и в этом же разделе исправь значение строкового REG_SZ-параметра Shell на Explorer.exe
Этот вирус userinit обычно не трогает, а вот Shell из реестра выносит полностью. Не исправлять, а заново создавать приходится.
Как удалить баннер вымогателей?
- Сначала надо определить, каким баннером заражен компьютер.
-Зафиксировано два вида баннеров:
- Баннеры, блокирующие работу всего компьютера и не позволяющие запускать программы и службы. К ним относятся как баннеры порнографического содержания, так и баннеры-вымогатели eKav antivirus, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro.
- Порно баннеры, которые не блокируют работу всего компьютера, а появляются только в браузере, программе, с помощью которой просматривают Интернет страницы, занимая определенное место на экране (как правило широкая полоса внизу экрана, но возможны и варианты). Именно такие порно баннеры вы и сможете удалить и вычистить своими силами.
А теперь поехали, несколько вроде сложно, но справится можно.
Предварительно если подхватили такую бяку звоните товарищу или подруге у которых все в норме (т.е. компьютер не заражен) диктуете http://www.drweb.com/unlocker/index а также, требования вымогателей номер и текст
Кстати генератор кодов есть не только на сайте ДрВеб но и на сайте касперского и еще на нескольких
Обычно помогает, не одну уже машину лечил, ну а далее работам ручками
Браузер Internet Explorer, удаление порно баннера
Чтобы удалить баннер из Internet Explorer делаем следующее:
Заходим в Internet Explorer. В меню Сервис > Управление надстройками > Отключить надстройку, выбираем LexLibVideo Plugin, нажимаем кнопку “Отключить”.
Далее заходим в “Мой компьютер”, ищем локальный диск “C”, нажимаем “Поиск файлов и папок”, ищем файл ??lib.dll, без сожаления удаляем. Знаки вопроса в имени библиотеки говорят о том, что на этих местах могут стоять две или три любые буквы.
Потом идем в меню “Пуск”, щелкаем по меню “Выполнить”, в текстовое поле вводим “regedit”, далее OK > Правка > Найти > вводим “??lib.dll”. Удаляем все найденные файлы. Так проделываем несколько раз.
Если все остальное не помогло, то через проводник Windows находим папку C:\Documents and Settings\{User Profile}\Application Data\AdSubscribe, а в ней файл AdSubscrib.dat, открываем его в блокноте, находим переменную [Runtime] ADSR=999, исправляем значение 999 на 0 и запускаем uninstall.exe. В след за этим в реестре (Пуск > Выполнить > regedit > Правка > Найти) находим все, что в имени своем имеет буквосочетание “AdSubscribe” и без опасения и сожаления удалить.
Перезагружаем компьютер.
Наслаждаемся отсутствием баннера и больше никогда не заходим на порно сайты.
Браузер Mozilla FireFox, удаление порно баннера
Чтобы удалить баннер из Mozilla FireFox делаем следующее:
Заходим в Mozilla FireFox. В меню Инструменты > Дополнения > Расширения ищем имя дополнения, которое отображает порно баннер, оно может называться XComFF, W V VIDEO PROVIDER, HQ Video Converter или просто INFORMER. Здесь надо включить интуицию и руководствуясь ею найти нужное название, хотя, если вы удалите не то, что нужно, никакой беды не произойдет. После вы всегда можете восстановить полезное дополнение. Можно удалять все по очереди, каждый раз перезапуская FireFox, как только порно баннер пропадет, можно считать, что вы попали в цель.
С помощью проводника Windows заходим на локальный диск “C” > Windows\system32\drivers\etc В этой папке ищем файл “host”, открываем его блокнотом и удаляем весь текст. Нажимаем “Сохранить”
Браузер Opera, удаление порно баннера
Чтобы удалить баннер из Opera делаем следующее:
Заходим в Opera. В меню Инструменты > Настройки > Дополнительно > Содержимое > Настройки JavaScript. В поле “Папка пользовательских файлов JavaScript” стираем все полностью, нажимаем “ОК”
Также по пути, описанном в п. 1 можно удалить все файлы баннеров с расширением *.js
Если по указанному в п. 1 вы видите сообщение “C:WINDOWS uscripts”, то следует удалить всю папку “uscripts”
Также для удаления порнографического баннера можно поступить так:
Когда появляется порно информер, откройте диспетчер задач сочетанием клавишь Ctrl+Alt+Delete и на вкладке “Приложения” найдите вредоносную программу, запишите ее название в Блокнот. Далее откройте меню Пуск > Выполнить > regedit > Правка > Поиск. В строке поиска впишите сохраненное название программы и удалите все записи, связанные с ним. Потом перезапустите машину в безопасном режиме (во время загрузки жмите клавишу F8) и с помощью поиска найдите все файлы и каталоги с таким названием и удалите их. Также сотрите все каталоги и файлы из папки C:\WINDOWS\Temp, а проще говоря, очистите папку Temp полностью.
- Сначала надо определить, каким баннером заражен компьютер.
-Зафиксировано два вида баннеров:
- Баннеры, блокирующие работу всего компьютера и не позволяющие запускать программы и службы. К ним относятся как баннеры порнографического содержания, так и баннеры-вымогатели eKav antivirus, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro.
- Порно баннеры, которые не блокируют работу всего компьютера, а появляются только в браузере, программе, с помощью которой просматривают Интернет страницы, занимая определенное место на экране (как правило широкая полоса внизу экрана, но возможны и варианты). Именно такие порно баннеры вы и сможете удалить и вычистить своими силами.
А теперь поехали, несколько вроде сложно, но справится можно.
Предварительно если подхватили такую бяку звоните товарищу или подруге у которых все в норме (т.е. компьютер не заражен) диктуете http://www.drweb.com/unlocker/index а также, требования вымогателей номер и текст
Кстати генератор кодов есть не только на сайте ДрВеб но и на сайте касперского и еще на нескольких
Обычно помогает, не одну уже машину лечил, ну а далее работам ручками
Браузер Internet Explorer, удаление порно баннера
Чтобы удалить баннер из Internet Explorer делаем следующее:
Заходим в Internet Explorer. В меню Сервис > Управление надстройками > Отключить надстройку, выбираем LexLibVideo Plugin, нажимаем кнопку “Отключить”.
Далее заходим в “Мой компьютер”, ищем локальный диск “C”, нажимаем “Поиск файлов и папок”, ищем файл ??lib.dll, без сожаления удаляем. Знаки вопроса в имени библиотеки говорят о том, что на этих местах могут стоять две или три любые буквы.
Потом идем в меню “Пуск”, щелкаем по меню “Выполнить”, в текстовое поле вводим “regedit”, далее OK > Правка > Найти > вводим “??lib.dll”. Удаляем все найденные файлы. Так проделываем несколько раз.
Если все остальное не помогло, то через проводник Windows находим папку C:\Documents and Settings\{User Profile}\Application Data\AdSubscribe, а в ней файл AdSubscrib.dat, открываем его в блокноте, находим переменную [Runtime] ADSR=999, исправляем значение 999 на 0 и запускаем uninstall.exe. В след за этим в реестре (Пуск > Выполнить > regedit > Правка > Найти) находим все, что в имени своем имеет буквосочетание “AdSubscribe” и без опасения и сожаления удалить.
Перезагружаем компьютер.
Наслаждаемся отсутствием баннера и больше никогда не заходим на порно сайты.
Браузер Mozilla FireFox, удаление порно баннера
Чтобы удалить баннер из Mozilla FireFox делаем следующее:
Заходим в Mozilla FireFox. В меню Инструменты > Дополнения > Расширения ищем имя дополнения, которое отображает порно баннер, оно может называться XComFF, W V VIDEO PROVIDER, HQ Video Converter или просто INFORMER. Здесь надо включить интуицию и руководствуясь ею найти нужное название, хотя, если вы удалите не то, что нужно, никакой беды не произойдет. После вы всегда можете восстановить полезное дополнение. Можно удалять все по очереди, каждый раз перезапуская FireFox, как только порно баннер пропадет, можно считать, что вы попали в цель.
С помощью проводника Windows заходим на локальный диск “C” > Windows\system32\drivers\etc В этой папке ищем файл “host”, открываем его блокнотом и удаляем весь текст. Нажимаем “Сохранить”
Браузер Opera, удаление порно баннера
Чтобы удалить баннер из Opera делаем следующее:
Заходим в Opera. В меню Инструменты > Настройки > Дополнительно > Содержимое > Настройки JavaScript. В поле “Папка пользовательских файлов JavaScript” стираем все полностью, нажимаем “ОК”
Также по пути, описанном в п. 1 можно удалить все файлы баннеров с расширением *.js
Если по указанному в п. 1 вы видите сообщение “C:WINDOWS uscripts”, то следует удалить всю папку “uscripts”
Также для удаления порнографического баннера можно поступить так:
Когда появляется порно информер, откройте диспетчер задач сочетанием клавишь Ctrl+Alt+Delete и на вкладке “Приложения” найдите вредоносную программу, запишите ее название в Блокнот. Далее откройте меню Пуск > Выполнить > regedit > Правка > Поиск. В строке поиска впишите сохраненное название программы и удалите все записи, связанные с ним. Потом перезапустите машину в безопасном режиме (во время загрузки жмите клавишу F8) и с помощью поиска найдите все файлы и каталоги с таким названием и удалите их. Также сотрите все каталоги и файлы из папки C:\WINDOWS\Temp, а проще говоря, очистите папку Temp полностью.
to vic171
Весь текст мимо кассы.
Во-первых, нынешние вымогатели уже не просят СМС.
Во-вторых, против пойманного автором вируса эти способы не помогают.
Способ единственный: Удалять исполняемый файл и добавлять в реестр нормальное значение Shell. (можно ещё систему переставить, как большинство это делают)
Весь текст мимо кассы.
Во-первых, нынешние вымогатели уже не просят СМС.
Во-вторых, против пойманного автором вируса эти способы не помогают.
Способ единственный: Удалять исполняемый файл и добавлять в реестр нормальное значение Shell. (можно ещё систему переставить, как большинство это делают)
Цитата | Quote(kostya-chist @ 9.01.2011 - 19:28)
Верно, через терминал... исполняемый фаил находился на рабочем столе.
В Safe Mode не пускал, и я же написал, что точек восстановления нету... Попробую вышеописанные операции с реестром...
дабы не мучаться с поиском веток в реестере запусти эти два файла из архива
и всё (если у тебя 7 или виста то только первый запускай)
после перезагрузи комп и рабочий стол должен появиться
после перезагрузи комп и рабочий стол должен появиться
Через несколько дней снова столкнулся с этой бедой, победил в течении 10 мин ))) но для этого потребовался, помощник... главное это убить процесс, убивали в 3 руки ))) оказалось это еще и весело... а потом правим ключики в реестре указанные выше и все дела...
SoftoRooM © 2004-2024