dema09 29.01.2011 22:04:
Грузимся с LIVE CD или ERD COMMANDER * Ищем exe-файлы за последний день, 2, 3 и т.д. * Находим: С:\Program Files\Common Files\Agent\svhost.exe * Удаляем папку \Agent вместе с содержимым. * Из автозапуска убраем и удаляем с ПК pkiller.exe и pkill.exe * Перезагружаемся-видим пустой рабочий стол. * А далее по накатанной....3 горячих клавиши...вызов диспетчера......запускаем AVZ, выполняем: файл-->>восстановление системы, ставим галочки в пунктах 9 (удаление отладчиков), 16 (восстановление запуска Explorer), 17 (разблокировка редактора реестра)
Я с комп. на "Вы", запускаю его с диска WinPE, а что делать дальше,
как убрать из автозапуска ненужные файлы, что такое AVZ и как его запустить, как сделать восстановление системы, чтобы поставить галочки.
Хорощо Вы меня процитировали!!!
AVZ это спец. утилита позволяющая восстановить работоспособность Вашей системы, после того как там похозяйничал вирус. http://devbuilds.kaspersky-labs.com/...
Скачали, запускаем утилиту и нажимаем файл-восстановление системы
Cтавим галочку на пунктах которые нам необходимо восстановить
Нажимаем - выполнить отмеченные операции, далее нажимаем ДА
cf40 29.01.2011 23:20:
Добрый день уже полдня не могу справится с банером, помогите если кто столкнулся с таким,нигде его кодов нет, видно новый вирус, даже картинок нет его нигде этого банера. У меня черный экран и по центру экрана эта табличка серого цвета (Внимание! красного цвета) в РАЗНОМ безопасном режиме тоже самое:
Внимание!
Ваш ПК заблокирован,за просмотр порнофильмов с участием несовершенолетних,порнофильмов с зоофилией.
Для разблокировки,Вам необходимо совершить следующие действия:
В любом терминале оплаты сотовой связи,пополните счет абонента МТС 89168325871 на сумму 400 рублей.
После оплаты,на выданном терминальном чеке оплаты,Вам будет выдан код,после ввода которого система будет разблокированна
После разблокировки,Вам необходимо удалить все незаконно расположенные материалы на вашем ПК.
В случае отказа от оплаты,ваша операционная система будет безвозвратно уничтожена.
Введите код (рамка) ОК
cf40 29.01.2011 23:20:
Добрый день уже полдня не могу справится с банером, помогите если кто столкнулся с таким,нигде его кодов нет,........
ппц!!!! 29.01.2011 23:47:
воооо.....у меня тож такая надпись а фон только белый а не розоватый ну и номер другой,истерика у меня почти кончилась,ну я скоро разобью манитор и вздёрнусь...!!!!!!!!!
1 CПОСОБИзменение параметров системной даты в BIOS.
Перезагрузите комп.
В первые секунды загрузки компьютера нажимайте на клавиатуре клавишу Delete до тех пор, пока не появится окно BIOS.
Используя на клавиатуре клавиши "Стрелка вниз"/"Стрелка вверх" на закладке Main выберите пункт System Date.
System Date - дата, месяц, год, меняется клавишами курсора "+" "-".
Измените число месяца как минимум на год вперед.
На клавиатуре нажмите на клавишу F10, чтобы сохранить изменения и выйти из BIOS.
В окне Setup Confirmation выберите кнопку "Yes" и нажмите на клавиатуре клавишу Enter.
Перезагрузите комп.,если не помогло, то верните прежнюю дату.
Если помогло, то потом расскажу как найти файл баннера.
2 СПОСОБ
Перезагрузите компьютер и удерживайте клавишу F8
Выберите пункт Безопасный режим с поддержкой командной строки
Нажмите клавишу Enter
Дождитесь появления окна cmd.exe (окно командной строки) на экране.
В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.
В окне Рабочий стол нажмите на кнопку Да, чтобы продолжить работу в безопасном режиме.
В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет.
Нажмите на кнопку Пуск - Выполнить- в поле Открыть пишем regedit
В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
В правом окне значение в параметре Shell прописан путь к вирусу, поэтому меняем значение параметра Shell на explorer.exe для этого,
Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .
В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса, он идет после explorer.exe ).лучше запишите на листок бумаги.
Удалите все что идет после explorer.exe - нажимаем ОК
Должно быть так:
Там же проверяем параметр Userinit
Необходимо, что бы в изменении строкового параметра Userinit было прописано:
C:\WINDOWS\sistems32\ userinit.exe, всё что после запятой удаляем и нажимаем OK
Должно быть так:
В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.( или записали на листок бумаги)-Нажмите клавишу Enter на клавиатуре.
( Напоминаю еще раз удалять нужно то что написано в параметре Shell после explorer.exe
Можно и вручную удалить файл вируса идя по этому пути.
Кодов на него нет и НЕ БУДЕТ! По крайней мере в ближайшую неделю!
1 CПОСОБ Изменение параметров системной даты в BIOS.
Перезагрузите комп.
В первые секунды загрузки компьютера нажимайте на клавиатуре клавишу Delete до тех пор, пока не появится окно BIOS.
Используя на клавиатуре клавиши "Стрелка вниз"/"Стрелка вверх" на закладке Main выберите пункт System Date.
System Date - дата, месяц, год, меняется клавишами курсора "+" "-".
Измените число месяца как минимум на год вперед.
На клавиатуре нажмите на клавишу F10, чтобы сохранить изменения и выйти из BIOS.
В окне Setup Confirmation выберите кнопку "Yes" и нажмите на клавиатуре клавишу Enter.
Перезагрузите комп.,если не помогло, то верните прежнюю дату.
Если помогло, то потом расскажу как найти файл баннера.
2 способвнимание во 2 способе который я привел выше я допустил ошибку, хотя он так же помогает, но напишу правильно!!!
перезагрузите компьютер и удерживайте клавишу F8
Выберите пункт Безопасный режим с поддержкой командной строки
Нажмите клавишу Enter
Дождитесь появления окна cmd.exe (окно командной строки) на экране.
В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.
В окне Рабочий стол нажмите на кнопку Да, чтобы продолжить работу в безопасном режиме.
В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет.
Нажмите на кнопку Пуск - Выполнить- в поле Открыть пишем regedit-ОК
В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .
В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса лучше запишите на листок бумаги.)
Закройте окно Изменение строкового параметра.
Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .
не перепутайте ветки реестра все эти действия выполняем в ветке: hkey_current_user\software\Microsoft\Windows NT\CurrentVersion\Winlogon
ОБРАЩАЮ ВНИМАНИЕ: действия ведем в ветке: HKEY_CURRENT_USER а не в HKEY_LOCAL_MACHINE
В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.( или записали на листок бумаги)
Нажмите клавишу Enter на клавиатуре.
Можно и вручную удалить файл вируса идя по этому пути.
Перезагрузка в обычном режиме.
Если не сложно просьба скопировать и заархивировать этот баннер ( он в папке по тому пути который Вы записали с расширением .exe) и мы сообщим куда его отправить!
Выбираете процесс из списка и жмите Kill или <Enter> или <Del>
Далее по реестр-hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon - Shell- меняем на Explorer.exe- идем по пути вируса- грохаем его
Antoshka0007 30.01.2011 22:19:
Здравствуйте!у меня при входе в систему вылазит синий экран,просит код!есть ограничение мыши(левый верхний угол) при вызове диспетчера мышь не дотягивется до збросить задачу,нечего не получается((( безопасный режим работает,но я незнаю чего делать!помогите пожалуйста!
Смотреть по ветке реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon состояние параметров строки Shell и изменить значение arkml.exe на Explorer.exe.
Перезагрузка-баннера нет, что и требовалось доказать.
Но этот гад сильно напакостил, поэтому:
Запускаем AVZ:
Скачали, запускаем утилиту и нажимаем файл-восстановление системы
Cтавим галочку на пунктах которые нам необходимо восстановить ( а можно и на всех)
Нажимаем - выполнить отмеченные операции, далее нажимаем ДА
Перезагрузка.
Есть еще один способ отSERP802 ( но я его не проверял)
Вызываем диспетчер задач 3 волшебными кнопками раз 120
Баннер сворачивается
Далее помогает AVZ4 - восстановление(снимаем последствия баннера) , запуск реестра-редактирование строки Shell, удаление файла баннера...
Antoshka0007 31.01.2011 00:18:
а у меня стоит ограничение,и я не могу когда вызываю диспетчер дотянуться до снятия задачи..((((((но работает без. режим.
Снимайте в безопасном или напишите сюда имя запущенного процесса и я напишу как снять! А меню ПУСК можете вызвать Ctrl+Esc?
Antoshka0007 31.01.2011 00:32:
диспетчер не поможет ваще никак,без.режим работает нормально.. диска нет,и меню пуск тоже никак не вызвать,всё перепробывал,остается только через без.режим тока я незнаю как там,подскажие.
Перезагрузите компьютер и удерживайте клавишу F8
Выберите пункт Безопасный режим с поддержкой командной строки
Нажмите клавишу Enter
Нажмите на кнопку Пуск - Выполнить- в поле Открыть пишем regedit-ОК
В окне Редактор реестра найдите ключ реестра Shell по следующему пути:
shell = explorer.exe ( все что после-это путь к вирусу, запиши его и по этому пути удали, но предварительно скопируй-заархивируй и вышли мне, адрес я выше указал)
userinit = c:\windows\system32\userinit.exe,(Всё что после запятой удаляем)
Antoshka0007 31.01.2011 01:31:
ну уж надеюсь.. просто ситуация сложная, + усложнение в том что zaruta первый раз встречается с проблемой подобного рода..
Не первый! И Вам повезло что у Вас Винда семерка а не ХР
Antoshka0007 31.01.2011 15:27:
уррррра!!!!!!!!!!!!!!!!!!!чертовый баннер исчез... Нечего вроде и не делал,только лишь поставил галачки чтобы все файлы скрытые показал,и там ещё че то) "zaruta" спасибо вам за оказанную помощь в проблеме,вы вчера на меня 5 часов убили,и поздно легли,СПАСИБО!
Я рад за Вас, но я сейчас занят и немогу быть на форуме, если есть возможность вышлите мне Ваш баннер он находится в С:\Documents and Settings\профиль пользователя\Local Settings\Temporary Internet Files
logon18 09.02.2011 21:13:
потом просто перезагружаете комп и все работает как и раньше
Ну-НУ!!!
Код только дезактивирует вирус, а не удаляет, копии экзешника остаются как минимум в двух местах и если в файл зашит код перезапуска, то через определенное время он Вас порадует своим присутствием снова!