• Приветствую тебя уважаемый гость на форуме, посвященный компьютерам! В дружелюбной обстановке у вас будет возможность обсудить различные технические вопросы, касаемых: компьютеров, ноутбуков, программ для ПК. Обратите внимание, компьютерный форум Hard-Help.ru не коммерческий ресурс, то есть наши модераторы ничего не продают и не хвалят разные товары за деньги. Если это ваш первый визит, рекомендуем почитать справку по форуму. Для создания тем и размещения сообщений необходимо зарегистрироваться. После регистрации и успешной авторизации в темах не будет видна реклама от компании Google, а также появятся дополнительные функции. Желаем Вам приятного общения и новых друзей!

Поймал Trojan.Winlock.100/Trojan.Winlock.97

Регистрация
16 Фев 2011
Сообщения
5
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Комп перезагрузился после проверки антивирусом. Не успела винда загрузиться как выскочил баннер на весь экран (отправте СМС и все такое). Через полминуты баннер вырубился и начала запускаться винда. Но полностью система не загружается. Отображает только фон рабочего стола и "спасительное" окно проверки винды на подленность(благодаря которому я щас с этого компа выхожу в инет, играю и пишу эту тему). Диспетчер задач якобы "отключен администратором". Я нашел какие то файлы в корне жесткого диска, которых небыло раньше. Проверил их через "Аптечку сисадмина" на сайте Доктор веб. Показало что они заражены. Я их поудалял. Но винда все равно не грузится толком. Запускал CureIt несколько раз но эти файлы он не видит. Так уже недели 2 парюсь. Винду сносить не охота. Помогите пожалуйста.
 
Регистрация
16 Фев 2011
Сообщения
19
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

А ты посмотри в автозагрузке нет левых процессов? Если есть, то и разговор другой...
 
Регистрация
16 Фев 2011
Сообщения
5
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

я запускал прогу которая показывает автозагрузку (т.к. диспетчер задач не вызывается) но ничего подозрительного не нашел
 
Регистрация
16 Фев 2011
Сообщения
277
Репутация
0
Баллы
16
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Скорее всего либо не доконца удалил вирус либо есть еще какаято зараза.<br>1.Что касаемо банера можно удалить через программу RansomHide 0.2.23 вот ссылка http://samlab.ws/soft/popupkill/ (из за банера не работает диспетчер задач и.т.п)<br>2.Загружайся с загрузочного диска любой версии и проверяй на вирусы.
 
Регистрация
16 Фев 2011
Сообщения
19
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Можешь еще восстановление запустить более чем на месяц назад, вирус если не отключится из загрузки, то диспетчер задач заработает...а там посмотришь все процессы...
 
Регистрация
16 Фев 2011
Сообщения
91
Репутация
0
Баллы
6
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

ДА ТЫ ПОПАЛ!!!<br>Это троян который не берет не один антивирус.<br>Про этот блокирующий троян посмотри на:<br>http://viennaos.net/articles/1514-yepidemiya-trojanw...<br>Запомни этот сайт, на нем много всего интересного для Windows 7(Новости, Обои, Программы, Драйвера, Темы и т.д., я там уже как полгода точно регистрировался и до сих пор посещаю регулярно.
 
Регистрация
16 Фев 2011
Сообщения
5
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

"Что касаемо банера можно удалить через программу RansomHide 0.2.23 вот ссылка http://samlab.ws/soft/popupkill/ (из за банера не работает диспетчер задач и.т.п)"<br>Баннер у меня не появляется больше вообще, поэтому прога не помогает. Что не делаею выдает ошибку:<br><br>"Run-time error '71':<br>Disk not ready"<br>И прога закрывается. Даже обновленная
 
Регистрация
16 Фев 2011
Сообщения
277
Репутация
0
Баллы
16
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

похоже на вирус Win32.Aimdes.A ,советую проверить на вирусы
 
Регистрация
16 Фев 2011
Сообщения
5
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

"похоже на вирус Win32.Aimdes.A ,советую проверить на вирусы"<br><br>"Запускал CureIt несколько раз но эти файлы он не видит."
 
Регистрация
16 Фев 2011
Сообщения
32
Репутация
0
Баллы
6
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Я, конечно, не специалист, но лицензионная ли у тебя система? И как давно ты в Интернете? Что-то подобное и у меня было месяца через полтора после подключения...Мой знакомый, что мне после этого систему переустанавливал, сказал, что Майкрософт отслеживает через инт. нелецензионные копии и блокирует, гад! Может, не врал?
 
Регистрация
16 Фев 2011
Сообщения
5
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Татьяна Голых Гатилова, вы правы у меня система от ZverDVD. каждый раз при запуске у меня выскакивает окно в котором предлагается проверить винду на подленность. но там ничего не написано про блокировку винды. написано что если система не лицензионная то переодически будет выскакивать сообщение напоминающее об этом. а если бы блокировали то точно не трояном. да и если бы у меня была лицензионная винда то не выскакивало бы это окно и не мог бы я выйти в инет с этого компа и играть на нем потому, что в этом окне есть ссылка на подробности об этой проверке и инет у меня (незнаю почему. может баг провайдера) может работать без выполнения подключения. инетом я пользуюсь (от этого провайдера) 5 мес
 
Регистрация
16 Фев 2011
Сообщения
2
Репутация
0
Баллы
1
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

это валидация - она легко убивается специальным батничком) поищи в гугле<br>далее по поводу ВинЛока<br>я не так давно работал сис админов на одну Московскую фирму<br>там были поражены поти все тачки<br>тоесть более 15 рабочек и пару серверов на 2003й винде<br>так вот<br>доктор веб нифига не помогает<br>зато Касперский ловит ранние винлоки (а их целая масса)<br>а самым эффективным показал себя Тренд Микро Ворри Фри Бизнесс<br>его то я и советую)
 
Регистрация
16 Фев 2011
Сообщения
32
Репутация
0
Баллы
6
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Андрей Modokon Черников!<br> Мне тогда предлагалось отправить СМС (всё писалось на английском) на какой-то номер, чтобы подтвердить что-то там, а иначе не будет грузиться даже в простом режиме - и всё это белыми буквами на синем фоне ; я забоялась эксперементировать самостоятельно, вызвала друзей, мне установили новый HD, другой Виндовс. С тех пор проблем не возникало. Сожалею, если не смогла помочь, говорю же, я не специалист, только схожим опытом могу поделиться!(А Касперский у меня и до этого стоял, лиц., разумеется!)
 
Регистрация
16 Фев 2011
Сообщения
43
Репутация
0
Баллы
6
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Короче посмотри ключ HKEY_Local_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Windows\Applnit_DLLs. <br><br>Все библиотеки, указанные в этом ключе, автоматически загружаются в адресное пространство всех запускаемых процессов, использующих библиотеку User32.dll<br><br>Для проверки этих ключей нужно загрузиться с LiveCd, который умеет работать с реестром
 
Регистрация
16 Фев 2011
Сообщения
43
Репутация
0
Баллы
6
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Еще посмотри ключ HKEY_Local_MACHINE\USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon<br><br>Если есть параметр Shell в нем должно быть explorer.exe. Если написано то этот параметр нужно удалить!<br><br>ПРЕДУПРЕЖДЕНИЕ: <br> ПЕРЕД ИЗМЕНЕНИЕМ ПАРАМЕТРОВ - СДЕЛАТЬ ПОЛНУЮ КОПИЮ РЕЕСТРА!!!!!!<br><br>P.S. Я предупредил что нужно сделать копию!!!
 
Регистрация
16 Фев 2011
Сообщения
43
Репутация
0
Баллы
6
Поймал Trojan.Winlock.100/Trojan.Winlock.97. Удалил (вроде).

Систему можно откатить за одну минуту, если скопировать файлы из папки<br> C:\WINDOWS\repair в папку C:\WINDOWS\system32\config
 

viprus

Поддержка
Команда форума
Регистрация
4 Июн 2011
Сообщения
1,794
Репутация
0
Баллы
36
Я извиняюсь, коллеги, ерунду пишите. Очевидно что CureIt!-ом всё уже почищено (если он был свежий) значит проблемы остались только в реестре. Это для кого написано?
topic1749.html
Читал? Если не разобрался спрашивай поясню ещё подробнее. Тебе нужно добраться до реестра или хотя бы запустить утилитку avz - портабельная, установки не требует (Сайт: http://z-oleg.com, вот прямая ссылка на скачивание - http://z-oleg.com/avz4.zip)
В ней сначала жми Файл - Обновление - Пуск. Потом меню AVZPM - Установить драйвер расширенного мониторинга процессов и перезагрузиться.
После этого запускаешь снова avz, Файл - Восстановление системы и отмечаешь в списке все пункты кроме 18, 19 и 21
Применить, дождись завершения его работы и можешь перезагружаться, должно сработать.
Кроме того в Файл - Стандартные скрипты - Поиск и нейтрализация руткитов, обязательно ну и ещё там по менюшкам полазай, там много чего интересного и полезного есть. А на сайте много инструкций и советов.

Сергей Усольцев написал(а):
Еще посмотри ключ HKEY_Local_MACHINE\USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Если есть параметр Shell в нем должно быть explorer.exe. Если написано то этот параметр нужно удалить!
Сам-то понял что сказал? "Если написано то этот параметр нужно удалить!" Не путай людей, он тебе и удалит "этот параметр" Должно быть так:
App Dll - пустой параметр (двойным щелчком его открываешь, удаляешь содержимое)
Shell - значение Explorer.exe (ну или C:\Windows\Explorer.exe)
Сначала напиши ему как в реестр войти, у него рабочего стола нет, диспетчер задач тоже заблокирован. Откатить систему без LiveCD можно только у него кнопки Пуск нет. В папке C:\WINDOWS\repair есть копия реестра, но копия от первой установки этой винды, а он её уже юзает не один месяц, программ и игрушек наустанавливал наверняка кучу, они на этом реестре запускаться не будут. Возьмёшь реестр от сюда - получишь новую чистую винду (тогда уж проще новую ставить). Ещё советы будут? Да по откату, забыл, у него же Zver стоит, если он его не настраивал, то Служба восстановления системы отключена и откатывать не куда - Контрольных точек сохранения нет (они не создавались). Так что как ни крути выход один - править реестр.
Татьяна, если винда пишет о нелицензионности и (вдруг!) предлагает отправить СМС, то это WinLock-троян. Лечится с ливсиди за 3-5 минут по статье которую запостил в начале (первая ссылка, для себя инструкцию писал). А если "мастера" вам при этом переустановку предлагают, то или денег хотят или чайники и просто не знаю как это лечится. В любом случае гнать их надо в три шеи.
 

matwey

Member
Регистрация
14 Апр 2011
Сообщения
308
Репутация
0
Баллы
16
Как сделать доступным запуск Диспетчера задач
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (нажав кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows + D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).
 
Сверху