WereWolf тоесть путь загрузки файла?? он работает и загружается прям из винды. а выполняется експлорером когда идет автозапуск программ с РЕЕСТРА. C:\windows\ctfmon.exe
Да и еще если в папке windows есть файл svchost.exe удаляйте его ТОЖЕ ВИРУС.
ОРИГИНАЛЬНЫЙ SVCHOST.EXE И CTFMON.EXE ЛЕЖАТ В \SYSTEM32
в некоторых локальных сетях Харькова народ возмущался по поводу появления такого, причем такое появлялось вроде какпослеприхода мастеров настройки, когда тупо отрубали фаирволы и антивирусы... такое встречалось после установки любителей Zver сборки винды.
SynkMaster Стандартный вариант восстановления системы-просто загрузиться с флешки и подцепив внешний реестр, посмотреть в него. а уж если известны пути, откуда лезет дрянь-так просто вычистить оную ручками! А ещё поймать бы написателя этой дряни..... Ух, и размялся бы я Хотя, спасибо ему, пока такие писатели будут-мы не останемся без нашего кусочка масличка на вкусном хлебушке
____________________
Время разбрасывать камни Время и убирать пришибленных!
По роду работы уже приходилось сталкиваться пока только с тем, что у народа в "ишаке" окно, которое проситотправить СМС и дать денег. Лечится Ctrl+Alt+Del. Сессию начинать заново. Дополнения, если таковые появились, в настройках обозревателя - удалять или хотя бы отключать
мне както попался "Win32.Sality" клеится к екзешникам "МОЧИТ АНТИВИРУСЫ"..... после испытаний над ним. "AVAST" "MCAFEE" Были уничтожены безпощадно. Убивает процесс и творит свои дела. у мя 100 гигов инсталов софта заражено было. восстановить никак ибо каспер не умел лечить его.
Вобщем совет таков ставьте пароли на антивиры. и еще.....не доверяйте данным на винтах-болванки рулят
Группа: Silver Member
Сообщений: 560
Регистрация: 10.07.09 Авторитет: 15
Вне форума
Предупреждения: (0%)
это еще что! у меня был случай, когда на десктопе появилась картинка Your privacy is in danger. При этом комп превратился в дрова, скорость копирования файлов с диска С на Д 20 кб/сек Предполагаю, что пролезть зараза могла даже windows update. Промучился недолго, черел линукс скопировал все на флэху и форматнул винт
Я недавно намотал такой WinLock Мучался недолго. Почитал с нетбука Dr.Web ... потыкал предлагаемые коды. Непомогло. Никакие Ctrl-Alt-Del не помогали. Reset и загрузка с возвратом на предыдущую точку восстановления системы. Вуа ля
Взято на уважаемом мною ресурсе.... (сам не пробовал)
Цитата
Этот вирус подменяет Explorer.exe в реестре и не дает нормально загрузиться ОС. К сожалению средства удаления СМСблокеров от лаборатории Касперского, и DrWeb на момент написание данной статьи (09.09.10) бессильны, по крайней мере, в тех случаях, которые мне попадались.
Для восстановления работоспособности ОС необходимо Expoler поставить на место, для этого:
1. Подключаем диск с зараженной системой к другой машине, либо загружаемся с LiveCD 2. Открываем regedit (Пуск -> Выполнить > Regedit) 3. Становимся на HKEY_LOCAL_MACHINE 4. Нажимаем "Файл" "Загрузить куст" 5. Ищем каталог C:\WINDOWS\SYSTEM32\CONFIG на диске с зараженной ОС 6. Загружаем файл "software" 7. Набираем имя раздела old_reg (можно любое) 8. Переходим old_reg\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 9. Ищем и изменяем параметр Shell на Explorer.exe 10. По окончанию редактирования нажимаем "Файл" "Выгрузить куст" 11. Перезагружаем ПК
Также некоторые модификации подобного СМСблокера, могут находиться в: old_reg\HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon Ищем параметр Userinit, должно быть C:\Windows\system32\userinit.exe, Если после запятой что-то прописано, то с большей долей вероятности, это и есть ваш "мучитель", удаляем все после запятой.
Поводом для написание данной статьи (кстати, это первая моя опубликованная новость на NNM), послужило множественные обращения знакомых, друзей и коллег, с просьбой помочь убрать данный блокер.
Взято на ещё более уважаемом ресусе: Даже если систему удалось разблокировать, необходимо удалить из нее следы пребывания троянца. Это можно сделать с помощью Dr.Web CureIt! В противном случае сохранится вероятность блокировки работы отдельных программ.
Группа: Gold Member
Сообщений: 1747
Регистрация: 20.02.11 Авторитет: 62
Вне форума
Предупреждения: (0%)
проблема не в кодеках и прочей лабудени, а в прокладке - между креслом и клавой. Отсутствие антивируса и/или нежелание думать - приводят к таким вот штукенциям. Мне недавно принесли такой же казус - с надписью, что то типа "посещение гей-сайта за бесплатно закончилось - шлите деньги" + картинка + блокировка. Вот чуваку было весело.....
____________________
Жизнь - трагедия, для тех кто живет чувствами и комедия для тех, кто живет умом. (Жан де Лабрюйер) Просто и банально. Самые главные вещи на свете - это не вещи
сейчас новая муля появилась: софт в гугле ищешь , скачиваешь с незнакомого варез сайта якобы winrar файл с расширением .exe (выглядит так: MozillaFirefox.rar.exe) оно запускается, в лучшем случае просто попросит бабки за программу, а в худшем оно на экране чтото промелькнет и через пару минут всем известное окно в голыми бабами
Проблема актуальна. На прошлой неделе поймал такую херь на средней паршивости сайте о российской недвижимости. Лечился в безопасном режиме др.Вебом, апосля Авирой + ковыряние в реестре. Задолбался.
____________________
+380-50-360-09-55 (+viber; +whatsapp); Когда бываю в Крыму: +7-978-515-60-86