• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Вирус-вымогатель

K

KipiSHks

Ученик
Регистрация
16 Окт 2012
Сообщения
3
Реакции
0
Баллы
0
Вирус-вымогатель

здравствуйте! помогите, пожалуйста. подхватил вирус вымогатель. порылся в интернете и напал на одно разъяснение, следуя которому и начал процедуру. использовал ERD Commander. закончив, перезагрузил компьютер. запросил имя пользователя и пароль. не знаю что вводить, ведь до этого не было никакого пароля. подскажите, что можно сделать? ОС менять не хочу, много данных на "С".

Не надо лезть в чужие темы. Создал Вам отдельную тему. Модератор.

И, кроме того, не следует заниматься кросспостингом: штамповать дубликаты тем и сообщений в разных разделах. Клон удален.
Тоже модератор. Другой.
 
Какая ОС?
А без пароля войти пытались?
 
Какой вымогатель
Что закончил?
Кто запросил имя и пароль?
Что вообще сделали то?
Поподробнее пожалуйста :telepat:
 
попробуй ввести
Логины: Администратор, Админ, Пользователь, Гость...
Пароль просто -ентер-
 
Вы случаем файл userinit.exe не удаляли? Хотя скорее всего удалили ключ реестра. Запускайте свой LiveCD, монтируйте реестр (уже умеете) и проверяйте:

Код: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение ключа Userinit должно быть
Код: 
C:\WINDOWS\system32\userinit.exe,
 
Последнее редактирование:
модераторам приношу свои извенения. первый раз на форуме, до этого не доводилось, теряюсь, как в мегаполисе.
ОС Windows XP SP3. пробовал вводить различные пользователи, но бузуспешно. лишь с одним пользователем получился некий прогресс. ввел безпароля. выбило "загрузка личных параметров" через секунды 2 написало "сохранениие личных параметров" и все заново, т.е. запрашивает ИП и пароль, как будто кто-то руководит процессом.
В реестре добрался до winlogon привел параметры ключа "Shell" в порядок, оставив только значение "Explorer.exe", userinit на тот момент не обнаружил, пришлось самому создовать и вводить значение ключа "C:\WINDOWS\system32\userinit.exe" в точности как написали сдесь. следом я зашел в Run и убрал не знакомую мне программу, которой раньше не было. вот собственно говоря и все. следом началось запрашивание ИП и пароля.
 
пришлось самому создовать и вводить значение ключа
Нажмите для раскрытия...
Какой ключ создавали? Должен быть вида "Строковой параметр".
 
да, файлы физически находятся на диске.
создал строковый параметр, дважды кликнул нанего, назвал userinit и ввел значение
 
KipiSHks написал(а):
...В реестре добрался до winlogon привел параметры ключа "Shell" в порядок, оставив только значение "Explorer.exe", userinit на тот момент не обнаружил, пришлось самому создовать и вводить значение ключа "C:\WINDOWS\system32\userinit.exe" в точности как написали сдесь. следом я зашел в Run и убрал не знакомую мне программу, которой раньше не было. вот собственно говоря и все. следом началось запрашивание ИП и пароля.
Нажмите для раскрытия...
А Вы запятую после userinit.exe поставили?
.../userinit.exe,
Вот так должно быть.
Еще посмортрите вот эту ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Если есть то удалите ее.
Еще вопрос: Какую ветку Run Вы очистили?
 
сегодня принесли бук с подобной гадостью.
скан как всегда ничего не дал :(
хотел попробовать загрузится в безопаске, но сначала решил попробовать зайти в диспетчер задач (вин7). Это удалось, правда курсор был только в поле окна трояна.
Навигацию по диспетчеру осуществил с помощью клавы :) убил подозрительный процесс и окно вымогателя пропало. Далее штатным поиском искал по имени процесса - нашел вирус в папке со временными файлами (убил)
далее в реестре поиском нашел этот-же файл в автозагрузке (кажись) - потер ветку.
Все работает на ура :)
Что самое забавное, на компе установлен аваст.
ЗЫ
ради прикола: вирус был подцеплен реебенком 11 лет, которому в школе задали задание написать реферат о сексе... куда ведут подобные запросы в поисковиках - все прекрасно знают :)
Вывод: пользуйтесь проверенными антивирусами, вовремя обновляйте базы и, главное, следите за своими детьми!
 
-ЗЛОЙ- написал(а):
...Вывод: пользуйтесь проверенными антивирусами, вовремя обновляйте базы и, главное, следите за своими детьми!
Нажмите для раскрытия...
Да не верьте Вы в сказки о Великом и Могучем АНТИВИРУСЕ.
За последние 4 дня удалил 10 или 11 вымогателей.
Что самое интересное только на 2х компьютерах стояли Аваст-ы, а на одном вообще ни чего не было.
На остальных антивирусы лицензионные KIS, KAV, DrWeb, EsetNON32, NS с последними обновлениями и все равно НОЛЬ в проблеме обнаружения этого зловреда (файл ms.exe, который плодит кучу файликов и процессов с 7-10 и значным цифровым названием.).
 
Это был не самый "вредный" вымогатель.
Вычищал более грамотно написанный вирь, который удалось убить толко из-под чистой ОС (загрузка с LIVE CD), причем, потом пришлось восстанавливать ручками в ветке реестра HKLM\software\Microsoft\Windows NT\Winlogon\Shell запись об оболочке.
При желании, можно создать такой вымогатель, который без переустановки "начисто" системы, победить не удастся.

p.s. вири пишутся профессиональными программистами, но некоторые из них недооценивают возможности сисадминов. ;)
 
Последнее редактирование:
Я дал ранее сылку на лог при помощи которого можно разобраться с проблемой.
 
Николай_С написал(а):
...При желании, можно создать такой вымогатель, который без переустановки "начисто" системы, победить не удастся.
Нажмите для раскрытия...
Зачем создавать уже созданное. Бывали у меня такие уже. Хотя может просто не заморачивался поиском "концов". Просто не было еще такого сильного повода, когда нужно было бы оставить именно ту ОСю которая была в оригинале.
 
Последний раз переустанавливал ОС после того, как пользователь убил ее своими "очумелыми ручками". Мне проще убить вирус, нежели тавокаться с установкой всех настроек и программ.

p.s. Работаю в фирме, занимающейся обслуживанием компов на предприятиях и у населения.
 
Качайте KRD ( Kaspersky Rescue Disk) Проверка на вирусы, грузитесь, запустите Unlocker, он сам удалит баннер и исправит повреждения реестра. Не лишним будет просканировать комп на наличие вирусов (сканер есть на этом же диске).
 
У семерых нянек дите без глазу. Топикстартер, вы там что делаете?
 
sedoy написал(а):
Качайте KRD ( Kaspersky Rescue Disk) Проверка на вирусы, грузитесь, запустите Unlocker, он сам удалит баннер ...
Нажмите для раскрытия...
Вы наверное просто ни разу не попадали на сбой в монтировании дисков.
(А это у данного ПО бывает). И после этого уж Вам точно придется менять Винду.
 
usmfed написал(а):
просто ни разу не попадали на сбой в монтировании дисков
Нажмите для раскрытия...
Конкретно у вас такие случаи были? Если да - что вы предприняли для того, чтобы это больше не повторялось (сообщили разработчику, отправили логи, нашли причину проблемы и выпустили патч...)? Если нет - зачем повторяете эту страшилку, запущенную конкурирующими фирмами?

Imho, обругать приличный по своим возможностям фриварный софт любой сумеет, а вот поспособствуют исправлению ошибок - только единицы.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху