Симптомы.
Вирус проявляет себя ПОСЛЕ входа пользователя в систему. Человек набирает логин и пароль для входа в Windows и через непродолжительное время получает следующую "картинку"
Текст, в зависимости от номера телефона, незначительно меняется, но это, в общем-то, не суть важно.
Во всех стандартых образцах
"Ваш компьютер заблокирован за просмотр, копирование и
тиражирование видеоматериалов содержащих элементы педофилиии насилия над детьми. Для снятия блокировки Вам необходимо
оплатить штраф в размере 400 рублей на номер телефона MTC
89112962428 . В случае оплаты суммы равной штрафу либо
превышающей ее на фискальном чеке терминала будет напечатан
код разблокировки. Его нужно ввести в поле в нижней части окна и
нажать кнопку «Разблокировать». После снятия блокировки Вы
должны удалить все материалы содержащие элементы насилия и
педофилии. Если в течение 12 часов штраф не будет оплачен, все
данные на Вашем персональном компьютере будут безвозвратно
удалены, а дело будет передано в суд для разбирательства по
статье 242 ч. 1 УК РФ.
Перезагрузка или выключение компьютера приведет к
незамедлительному удалению ВСЕХ данных, включая код
операционной системы и BIOS, с невозможностью дальнейшего
восстановления. "
особенно радует пункт про код на фискальном чеке :) Но мы, конечно, не лохи, чтобы вестись на такое откровенное оболванивание, поэтому перейдем к алгоритму решения данной проблемы.
Инструменты.
Чтобы побороть эту заразу, нам надо будет поработать с файловой системой и реестром системы. Сделать это, имея одно синее окно тяжеловато, мы загрузимся не из-под зараженной операционной системы. Для этого воспользуемся замечательным диском - Alkid Live CD (11-05-2011), который можно скачать с этого сайта.
Алгоритм избавления.
1. Скачайте образ Alkid Live CD (11-05-2011)
2. Запишите образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной вам программой. Именной специальной программой, потому что если вы просто скопируете файл образа на диск, он не загрузится. Лично я записываю с помощью Nero.
Также можно образ записать на флешку. В таком случае, работать будет намного быстрее. У нас на сайте приведена простая и подробная инструкция по записи.
3. Выставите в BIOS первичную загрузку с диска (если быть точнее, то оптического привода) или флешки, если хотите загружать Alkid с нее. Существуют различные версии BIOS с различной организацией меню. Чаще всего, чтобы войти в BIOS, надо после включения компьютера (или ноутбука) нажать F10, или F8, или F6, или F2, или Del . После успешного входа в BIOS нужно найти раздел под названием вида "Boot Device Priority" или похожим и выбрать первичным устройством оптический привод (или USB-устройство), с которого вы будете загружаться. После выбора не забудьте выйти, сохранив настройки (как правило, клавишей F10).
4. После применения настроек, компьютер начнет перезагружаться и, немедля, вставим диск в дисковод. Возможно, что появится сообщение типа: :If you want to boot from CD, press any key", в таком случае нажмем любую кнопку. Если сообщение не появится, то мы должны увидеть загрузочное меню нашего диска.
5. В загрузочном меню нас ожидают 2 пункта: загрузка LiveCD с драйверами и без драйверов, для нашего случая вполне хватит загрузки без драйверов, однако вы можете выбрать тот вариант, который вам больше нравится. В любом случае, если один вариант загрузки у вас "не пойдет", то, скорее всего, вы сможете загрузиться со второго варианта. Обращаю особое внимание, что, в зависимости от характеристик вашего компьютерного оборудования, загружаться диск может ДОЛГО, поэтому не нужно нервничать, загрузка может затянуться до 20 минут (однако, в основном, проходит быстрее).
Итак, наконец-то диск загрузился и мы видим перед собой окно операционной системы, которая установлена на оптическом диске. Как уже было сказано, она "начинена" специальными утилитами, помогающими решать проблемы с основной операционной системой.
6. Войдем в "Мой компьютер". Найдем диск, где у нас лежит зараженная операционная система (скорее всего, это будет, как обычно, C). На диске открываем папку Documents and settings (если у нас зараженная - это XP) или Users (если зараженная - Vista). В открытой папке находим и заходим в папку нашего профиля(ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку "Рабочий стол" ("Desktop") и удаляем из нее файл "test.exe". После удаления опять возвращаемся обратно в корень нашего диска, ищем папку "Windows", переходим в "system32" и находим и удаляем файл "userinit.exe". Далее в этой же папке находим файл с названием "03014D3F.exe", его мы не удаляем, а переименовываем в "userinit.exe" и оставлояем в покое. Теперь нам осталось опять перейти в папку с профилями (Documents and settings (если XP) или Users (если Vista)) и войти в папку All Users. В ней находим и входим в каталог "Application Data" и в нем удаляем файл под названием "22CC6C32.exe".
Все. ФИЗИЧЕСКИ вирус мы удалили, осталось подчистить следы его пребывания в нашей многострадальной операционной системе. Для этого нам и понадобится замечательная утилита на диске под названием "Редактор реестра".
7. Итак, нажмем кнопку "Пуск" (Кружочек с лепестками, в стиле Vista), выберем Программы => Администрирование => RegEdit (remote).
Теперь будьте предельно внимательны. Неосторожное редактирование реестра может привести к неполадкам в работе системы, поэтому внимательно читайте дальнейшие указания
8. Перейдите в раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon"
9. Перейдите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра Shell должно быть "Explorer.exe", а параметра "Userinit" – "C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая)!
10. Если параметры “Shell” и “Userinit” в порядке, найдите раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options" и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).
ВНИМАНИЕ! Может сложиться такая ситуация, что вирус-winlocker удалил файл explorer.exe В таком случае скачайте его из этого архива. Инструкцию по восстановлению файла я вложил.
11. После того, как вы произвели вышеописанные действия, вы можете закрыть редактор, перезагрузить компьютер, выставить загрузку на жесткий диск и попробовать загрузиться. По идее, вы без проблем загрузитесь и спокойно войдете в свой профиль. УРА! :=)
Не обойдемся парой примечаний.
В данной инструкции был подробно расписан метод борьбы с конкретным вирусом, попавшимся мне. В дальнейшем, автор вируса может его усовершенствовать и, например, поменять названия файлов с заразой. Поэтому надо быть бдительным и понять сам принцип вылечивания системы. Если у вас возникнут какие-то сложности, затруднения, вопросы по своим конкретным случаям, или вам показался непонятным какой-либо шаг в моей инструкции не стесняйтесь, описывайте проблему в комментариях и я постараюсь вместе с вами ее решить
После вылечивания от этого вируса, может оказаться, что зараженными оказались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмит кнопку "Пуск"=>"Выпонить", наберите "sfc /scannow" и нажмите ОК. Если восстановить не удасться, не отчаивайтесь, пишите сюда в комментарии, какие системные файлы были заражены и удалены, я отошлю их чистые оригиналы.
Кстати об антивирусе. Если бы на системе стоял нормальный антивирус, таких шуток с блокировкой, вполне возможно, удалось бы избежать. На сегодняшний день Антивирус Dr Web определяет и обезвреживает описанный SMS-блокировщик. Поэтому после боя с вирусом рекомендую скачать с сайта вечную сборку Доктора Веба от НАЗАРЕТ, не просящую ключа и полностью самообновляющуюся.
Надеюсь, написанное мной поможет вам в борьбе с вирусом и будет несложным и полезным!
UPD: Добавлена инструкция по записи Alkid на флешку.
UPD2: Для тех, у кого исчез файл explorer.exe скачайте его в архиве. Если вы не в Alkid, то войдите в него (пункты 1-5) и следуйте инструкции, которую я приложил в архиве.
У меня точно такая же проблема, только ко всему прочему проблема в том, что дисковод давно диски не читает. Можно ли каким то образом проделать все то же, но используя флешку например?
ОтветитьУдалитьДа, можно, сейчас дополню статью, напишу как записать образ на флешку.
ОтветитьУдалитьСпасибо застатью.
ОтветитьУдалитьПримечания:
у меня были ещё заражены файлы
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ dllcache\taskmgr.exe
C:\WINDOWS\system32\ dllcache\userinit.exe
После того как были удалены выше описанные файлы я скопировал с незараженной системы файлы taskmgr.exe и userinit.exe Всё заработало.
Это слишком сложно, вот я например вставил диск нажал несколько кнопок и баннера как не бывало. А друга вообще не чего не нажимали, только вставили диск и баннер сам слетел автоматически. Подробно можно найти на сайте http://dapolza.ru/view_post.php?id=50
ОтветитьУдалитьК сожалению антивирусники не спасли нас от этой заразы. Просочился на комп с установленным лицензионным Dr.Web. Кстати, файла test.exe в папке профиля пользователя не оказалось, а остальная вся зараза сидела в точности как описано. Большое спасибо автору за статью! Метод помог.
ОтветитьУдалитьАнонимный Ребят с dapolza, срем? Пытаетесь у меня впарить свое поделие? Не надо у меня искать дураков, которые будут тратить деньги на ваш "супердиск", когда я привел БЕСПЛАТНЫЙ и УНИВЕРСАЛЬНЫЙ способ решения проблемы. Я принципиально не буду удалять ваш коментарий, даже ссылку, все прекрасно видят, что вы пытаетесь нажиться на несчастье других людей.
ОтветитьУдалить"только вставили диск и баннер сам слетел автоматически": аж смешно становится от ереси, которую несете.
Анонимный, скопировавший файлы из незараженной системы, вы правильно сделали. Если кому понадобятся эти файлы, я могу их скинуть
ОтветитьУдалитьGrothaur
ОтветитьУдалитьПожалуйста, всегда готов поделиться своими знаниями и опытом с другими!
Этот комментарий был удален администратором блога.
ОтветитьУдалитьВсем страждущим добавил ИНСТРУКЦИЮ ПО ЗАПИСИ Alkid НА ФЛЕШКУ. Читать сюда: http://intellifiles.blogspot.com/2011/05/windows-xp20032000nt-bartpe-alkid.html
ОтветитьУдалитьСПАСИБО ВАМ ОГРОМНОЕ!!!!!!!!я думала мне опять придется деньги на мастера тратить ,а оказалось ,что я могу сама справиться ,чтоб я без вас делала
ОтветитьУдалитьПожалуйста :) Я сам частенько выезжаю, чтобы вылечить эту заразу, однако мне не жалко поделиться методом лечения. Люди же не виноваты, что наше государство не в состоянии навести элементарный порядок и антикриминальное регулирование в телекоммуникационной сфере...
ОтветитьУдалитьВсе сделала точно по инструкции, только не оказалось файла explorer.exe (пункт 10), в итоге картинка вируса исчезла, но на рабочем столе ничего не появилось - при загрузке просто пустой рабочий стол без ярлыков и панели Windows. :( Что я могла сделать не так - ума не приложу.
ОтветитьУдалитьЯ ваша фанатка!!! :)
ОтветитьУдалить1ый комментарий - мой. (про образ на флешке).
Все получилось!!!!! Спасибо огромное, все четко и понятно расписано.
Все сделала точно по инструкции, только не оказалось файла explorer.exe (пункт 10), в итоге картинка вируса исчезла, но на рабочем столе ничего не появилось - при загрузке просто пустой рабочий стол без ярлыков и панели Windows. :( Что я могла сделать не так - ума не приложу.
ОтветитьУдалить+1, тоже самое
Тоже делал по инструкции, только в пункте 10 параметры “Shell” и “Userinit” не были в порядке, был другой путь, я его сделал как в пункте 10, и дальше не оказалось файла explorer.exe, перезапустил - пустой рабочий стол без ярлыков и панели Windows
ОтветитьУдалитьВсе сделано по инструкции, вирус убрался, но не загружается рабочий стол, как понимаю explorer.exe. как его восстановить?
ОтветитьУдалитьИТАК! ВСЕ, ВСЕ, ВСЕ, у кого не загружается рабочий стол и нет файла explorer.exe. Я обновил статью, в конце (UPD2) вы найдете ссылку на скачивание архива, в нем вы найдете сам файл и инструкцию, как его добавить в систему.
ОтветитьУдалитьОБЯЗАТЕЛЬНО ОТПИШИТЕСЬ, смогли вы все сделать, получилось ли все?
Ничего не получилось! Всё так же нету рабочего стола!
ОтветитьУдалитьА когда сам запускаю explorer.exe, запускается проводник
Скажите, вы точно добавили файл explorer.exe в папку Windows зараженной системы? В реестре зараженной системы
ОтветитьУдалитьHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon в параметре "Shell" стоит "explorer.exe" (без кавычек)?
Спасибо ОГРОМНЕЙШЕЕ о добрейший!!! Всё работает и всё прекрасно!!!
ОтветитьУдалитья проверил утилиткой доктора веба, убил вируса, рабочий стол появился, (система xp на ноуте)
ОтветитьУдалитьkikbik Вы это сделали уже после прохождения инструкции?
ОтветитьУдалитьУ меня та же история.
ОтветитьУдалить"Ничего не получилось! Всё так же нету рабочего стола! А когда сам запускаю explorer.exe, запускается проводник"
система windows XP home edition
файлы explorer, userinit, taskmgr взял с windows XP professional (копировал из windows не помогло)
Помогло, когда под ERD commander заменил explorer с этого сайта.(еще нашел у себя в реестре ошибку "explorer" а не "explorer.exe")
Спасибо, вообще
Я специально выложил оригинальный нетронутый вирусами explorer.exe, потому что в подавляющих случаях они на рабочих системах завирусованы.
ОтветитьУдалитьВ принципе, все те же самые действия можно было сделать и из-под алкида, о чем я в Upd2 написал. Спасибо вам, что комментируете.
А можно инструкцию по записи образа на флешку со скриншотами,а то как-то разобраться не могу!
ОтветитьУдалитьИнструкция находится по этой ссылке http://intellifiles.blogspot.com/2011/05/windows-xp20032000nt-bartpe-alkid.html
ОтветитьУдалитьЧто конкретно вам в ней непонятно?
записал на диск Alkid Live CD (11-05-2011)при помощи неро !!!установил в биосе загрузку с диска!!!но когда вставляю диск система загружается так же как и раньше и на рабочем столе всё тот же баннер!!!!может я не правильно записал образ или возможно касперский при скачивании удалил какие либо файлы?
ОтветитьУдалитьподскажите пожалуйста !!!диск с автозапуском должен получиться?записал при помощи неро!!!когда скачал архив "Alkid Live CD (11-05-2011)"в нем лежат вот такие файлы и папки:A386;PROGRAMS;BOOTFONT.BIN;WIN51IP;WIN51IP.SP2.
ОтветитьУдалитьдумаю может у меня kis заблокировал при скачке или удалил какие?В биосе установил значения как вы написали!!!но не чего не происходит система загружается как всегда и на раб.столе всё таже реклама(баннер)
А у меня вообще винда после этого всего полетела.
ОтветитьУдалитьСиний экран...
Аноним, который перечислил папки и файлы. Вы что, распаковали .iso и записали САМИ ФАЙЛЫ И ПАПКИ В НЕРО? Вы неправильно сделали! Надо было записать сам образ! Короче говоря, я напишу подробную инструкцию, как записывать образы на диск, к вечеру опубликую.
ОтветитьУдалитьМожно вас попросить выложить Alkid Live CD (11-05-2011) на Letitbit?
ОтветитьУдалитьу меня он не находит файл test.exe, а файл usernit.exe есть, только не удаляется. А файла 03014D3F.exe тоже нет. У меня виста, может существуют какие-то другие файлы?)
ОтветитьУдалитьспасибо! помогло! я тупо удалял 2 файла 22CC6C32.exe и N2iyN3iyO3j.exe в папке Application Data а после перезагрузки 1 файл опять появлялся. теперь всё ок))
ОтветитьУдалитьследовала инстукции
ОтветитьУдалитьнету файла 03014D3F.exe и 22CC6C32.exe
когда все сделала
при входе в систему он пишет завершение сеанса.сохранение параметров.ввожу пароль свой и он опять пишет завершение сеанса и т.п
таже фИГНЯ
ОтветитьУдалитьДобрый день! Пытались загрузить Alkid с флэшки. Выполнили 4 пункта вашей инструкции. В BIOS устройства USB-HDD не было. Выбрали девайс под названием Removable Dev. При сохранении настройки BIOS (F10) компьютер перезагрузился. Ничего не изменилось. Загружается windows-xp, окно с паролем, после ввода пароля синий баннер. Где ошибка?
ОтветитьУдалитьЗагрузившись с LiveCD, пролечил ноут утилитой Dr.Web CureIT! - она поудаляла всю эту нечисть и другой мусор. Но после этого винда сразу не загрузилась, хотя банер пропал. Была тока картинка рабочего стола и все, не запускался диспетчер задач. После восстановления файлов с чистой винды taskmgr.exe и userinit.exe появилась возможность позвать диспетчер задач, войти в реестр и подправить ключики в Winlogon. После этого все заработало! УРА.
ОтветитьУдалитьПоймал сегодня попрошайку-информер. Всё произошло так. Хотел найти описание одной программы для мобильного, набрал в поисковике ее название и стал лазить по сайтам. В списке найденных результатов был сайт с оговоркой, что сайт может угрожать безопасности моего компьютера. Я и раньше видел подобные надписи, заходил на сайт и ничего страшного не случалось. Да и сайт-то этот я уже сегодня посещал, и антивирус у меня имеется (NOD 32). Сначала я зашел на безопасную копию данного сайта, хранимую поисковой службой. Однако сайт выглядел так, будто он загрузился не полностью. Там только и было описание данной программы. Решил, что ошибка какая-то в этой копии и пошел на оригинал - ведь я под защитой. Ан, нет... Сразу как я туда зашёл у меня вылез этот банер: "Ваш компьютер заблокирован...". В точь-точь как у Вас на рисунке. Короче пришлось повозиться, чтоб от него избавиться. Мой первый опыт. Пользовался в том числе и этой статьей. Спасибо. Когда я загрузился с Live CD, я нашел подозрительный файл, попробовал его окрыть... Мои подозрения были подтверждены. Опять вылез это банер. :) Только теперь походу он был в оперативке. Перезагрузил Live CD и удалил этот файл. Потом еще в реестре правил. И кстати, у меня было 2 файла userinit.exe: один в System32, второй - во вложенной в System32 папке. Я и его удалил. Теперь вот проверяю на вирусы.
ОтветитьУдалитьNOD 32 - один из самых поганых антивирусов, которых я видел. Сколько компьютеров я лечил после него - не счесть. Пользуйтесь нормальным антивирусом Dr Web. Вечную сборку "поставил и забыл", не требующую обновлять ключи выложил тут: http://intellifiles.blogspot.com/2011/04/dr-web-56.html
ОтветитьУдалитьНа свой комментарий от 22 мая:
ОтветитьУдалитьнашли причину неудачи с загрузкой через BIOS.
Оказалось, что ноутбук ASUS EeePS загружается так: сразу после возникновения на экране заставки EeePS надо нажать esc. Тогда появляется окно с выбором девайсов, в котором надо выбрать USB-device. Далее все по инструкции. Все получилось. Может, кому-то пригодится наш опыт. Спасибо за помощь всем!
Огромное спасибо, что отписались. Добавлю в инструкцию отдельно :)
ОтветитьУдалитьследовала инстукции
ОтветитьУдалитьнету файла 03014D3F.exe и 22CC6C32.exe
когда все сделала
при входе в систему он пишет завершение сеанса.сохранение параметров.ввожу пароль свой и он опять пишет завершение сеанса и т.п
как быть? жду ответа.спасибо
Помогло с первого раза.
ОтветитьУдалитьОГРОМНОЕ Спасибо!!!
Спасибо за работу! все помогло!
ОтветитьУдалитьДобрый день! Скажите, пожалуйста, у друга на экране вылезла такая же зараза, как вы и показываете, записал образ диска, все сделал, как вы пишите в инструкции, баннер слетел, несколько дней все было в порядке, а потом опять вылез. С чем это может быть связано? Еще, при лечении я на рабочем столе не нашел файл test.exe, скажите, его может и не быть вообще или он где-то все равно прячется? Кстати, посмотрите, пожалуйста, ссылку, которую вы давали для скачивания - Доктора Веба от НАЗАРЕТ – она, по-моему, содержит вирус, при скачивании - Avast сообщает, то, что обнаружен вирус, проверьте, пожалуйста, или дайте другую ссылку.
ОтветитьУдалитьСпс круто!!!!!! Теперь хожу радуюсь. Хорошо что есть такие люди которые помогают.
ОтветитьУдалитьВот ваш хваленый Avast баннер и прошляпил. Антивирусы конкурируют друг с другом, поэтому и определяют друг друга как вирусы. Ваш друг поймал этот баннер еще раз. Чтобы это предотвратить, я и всем настоятельно порекомендовал поставить Доктор Веб по моей ссылке. Поэтому Пройдите шаги этой инструкции еще раз и поставьте антивирус http://intellifiles.blogspot.com/2011/04/dr-web-56.html
ОтветитьУдалитьДля тех, у кого появляется рабочий стол и дальнейшая загрузка не происходит: в Shell нужно прописать тот путь "explorer.exe", где он находится, т.е. скоре всего в папке "Windows" (для XP). Получается так: "C:\WINDOWS\explorer.exe". У меня тоже сначала был только рабочий стол. Изменил путь - заработало. komsomolec-у - огромное человеческое спасибо!
ОтветитьУдалитьспасибо, помогло!
ОтветитьУдалитьtest.exe не нашёл, а так всё отлично
Я уже всавил CD в дисковод и идёт загрузка. Но уже прошёл час! Что не так?
ОтветитьУдалитьБывает и такое. Возможно Ваш диск царапаный/битый или вы скачали "битый" образ (т.е. недокачали Alkid). Я выложу контрольные суммы образа, сверитесь, дальше сообразим.
ОтветитьУдалитьСпасибо большое, все помогло. Хорошо что Вы есть на этом свете)))
ОтветитьУдалитьУ меня чёрный экран. Внизу написано:
ОтветитьУдалитьPress any key to toot from CD...
Это что?
Данное сообщение переводится как "Нажмите любую кнопку, чтобы загрузиться с CD-диска..." Вот и нажимайте!
ОтветитьУдалитьВсе сделал, но нет рабочего стола. При загрузке с флэшки, диск с операционной системой меняется на D. У меня система на С. Что писать для параметра shell в реестре? C:\WINDOWS\system32\userinit.exe, или D:\WINDOWS\system32\userinit.exe,. Пробовал и то и другое-не помогает. После загрузки с харда, параметр shell опять принимает значение userinit. Что посоветуете?
ОтветитьУдалитьПосле выполнения ваших рекомендаций, баннер пропал, но рабочий стол не появился.
ОтветитьУдалитьПо Ctrl-Alt-Del вошел в диспетчер задач, затем "Новая задача" и запуск regedit.exe. В реестре параметр shell был инфицирован. Исправил его на
C:\WINDOWS\system32\userinit.exe и все пошло.
Спасибо за помощь.
Спасибо большое, я обязательно обновлю всю инструкцию, добавлю Вашу заметку. Отписывайтесь все, что да как, вместе мы поборем любые вирусы :)
ОтветитьУдалитьчто если у меня номер не (911), а 8 (981)8757867 в инструкциях ничего не меняется????
ОтветитьУдалитьСкорей всего нет, когда загрузитесь с алкида, убедитесь в наличии описанных в ней файлов (test.exe может и не быть, это нормально)
ОтветитьУдалитьсделал все как описано через загрузочную флешку. разжевано по полочкам. ВСЁ получилось. огромное спасибо комсомольцу!!!! толька файла test.exe на рабочем столе у меня не оказалось и удалять было нечего. все остальное верно!
ОтветитьУдалитьЕСТЬ СПОСОБ ОТКЛЮЧИТЬ БЛОКИРОВКУ КОМПЬЮТЕРА ИЗНАЧАЛЬНО, дабы обезопасить себя от повторного вторжения =)))
Заходим в ПУСК, далее ЗАПУСК ПРОГРАММЫ, в строке пишем gpedit.msc , находим в +Конфигурации пользователя
+Административные Шаблоны
+Система
Возможности Ctrl+Alt+Del
ставим состояние-Запретить блокировку компьютер
Пользуйтесь, помогает =)))
еще раз спасибо КомсомольЦУ=)
Пожалуйста:) Однако вы неправильно поняли эту политику:) Запретить блокировку в групповой политике (gpedit.msc) - это когда при загрузке Windows вам НЕ нужно нажимать Ctrl-Alt-Delete, чтобы набрать логин и пароь для входа в систему. На появление баннера это никак не влияет :) Для того, чтобы эта зараза больше Вас не беспокоила, вам надо скачать сборку Dr Web, я выложил ее на сайте: http://intellifiles.blogspot.com/2011/04/dr-web-56.html
ОтветитьУдалитьЕе преимущество в том, что она не требует вашего участия в работе - ключ вечный, менять не требуется, все компоненты программы: базы, ядро, оболочка, обновляются автоматически, в общем, настоятельно рекомендую!
Добрый день. СПАСИБО ОГРОМНОЕ. Все получилось с первого раза.
ОтветитьУдалитьвсё было сделано по инструкции, однако в реестре в позиции userinit после ввода правильного значения и перезагрузки рабочий стол не грузится: при входе в систему он пишет завершение сеанса.сохранение параметров, а в реестре в значении userinit пропадает правильное значение, а написано просто - userinit. В Shell значение explorer.exe осталось.
ОтветитьУдалитьСпасибо огромное, помогло! Даже для моих нубовских мозгов оказалось понятно.
ОтветитьУдалитьНе только вылечила компьютер, но и узнала для себя много нового. Спасибо =)
Спасибо большое, помогло :) Файла test.exe не было, зараза в dllcache сидела (как и говорили выше). 22CC6C32.exe оказался еще и в all users.windows\appl.data, а там, где о нем писалось изначально, был еще типа 55555kkkkk.exe или как-то в этом духе.
ОтветитьУдалитьПодскажите, пожалуйста что делать? Никак не могу войти в BIOS,нажала все кнопки - реакции никакой...
ОтветитьУдалитьта же зараза. установил вторую систему на другой диск.зашел через нее, все сделал по инструкции, в итоге вторая система тоже заражена
ОтветитьУдалитьАнонимный комментирует...
ОтветитьУдалитьта же зараза. установил вторую систему на другой диск.зашел через нее, все сделал по инструкции, в итоге вторая система тоже заражена
переставил вторую систему заново на диск I (зараженная на С).опять все сделал по инструкции, проверил антивирусом, вирус вроде убит.userinit тоже копирнул с рабочей системы.пробовал файл Explorer копировать и из рабочей системы и скаченный.загружается только картинка с раб стола. Ctri+Alt+Del не работает.
В "Shell" ставил C:\WINDOWS\explorer.exe и I\WINDOWS\explorer.exe.В любом случае система с диска I грузится нормально.но с С никак..
у меня была проблема точно как у Натали, сделал все по инструкции,(кроме файла test.exe которого не было). Когда пытался с лив cd поменять в реестре параметр "userinit" то при перезагрузке он возвращался в неправильное состояние. При попытке запустить зараженную систему отображался пустой рабочий стол без каких либо панелей или иконок. Проблему решил так-зайдя в зараженную систему нажал контрол-альт-дел, там новая задача, regedit. Поменял в реестре shell и userinit на нормальные значения(они почему-то отображались другими чем при загрузке с live cd), перезагрузился. Все на рабочем столе появилось, но переодически вылетали разные ошибки. Проверил доктором вебом-оказалось от вируса остались 3 файла: 2 в С:\WINDOWS\temp(название не помню но оба exe и один из них был с обычной для вируса иконкой) и С:\windows\apppatch\ullzkto.dat. Удалил все это, комп работает нормально.
ОтветитьУдалитьА вот такой вопрос: не зависимо на какой номер мтс надо отправить 400 рублей, всё равно жто один и тот же баннер?
ОтветитьУдалить"у меня была проблема точно как у Натали, сделал все по инструкции..." - спасибо за комментарий! Будем знать про новые файлы в обновленных модификациях вируса.
ОтветитьУдалить"не зависимо на какой номер мтс надо отправить 400 рублей, всё равно жто один и тот же баннер?"
Вопрос вызывает улыбку:) Я уже много раз повторял: кодов к баннеру НЕТ!
спасибо огромнейшее , все сходилось кроме test.exe , проигнорировал это действие и пошел дальше по пунктикам. ты настоящий гуру !
ОтветитьУдалитьСпасибо большое
ОтветитьУдалитьСегодня утром появилась эта надпись, только с телефоном 8 9817539836.. так я попал на ваш сайт, внимательно прочитал инструкцию по удалению этой дряни и уже собирался идти к другу скачивать Alkid Live CD, но решил на всякий случай перезагрузить комп. И вдруг, к моему удивлению, после перезагрузки эта надпись исчезла! Касперский нашел вирус "Hoax.Win32.ArchSMS.hjdi" и удалил его)
ОтветитьУдалитьу меня такая дрянь!!! во общем файла test.exe на рабочем столе не было,файл 03014D3F.exe - не найден,Application Data - нет допуска!!!!
ОтветитьУдалитьПривет всем! Огромное спасибо тебе komsomolec что помогаешь людям. Сегодня ты мне помог избавиться от этого баннера. Читал комментарии и решил установить доктор веб)
ОтветитьУдалитьСпасибо автору за грамотные рекомендации. В качестве загрузочного диска использовался ERD Commander и отсутствовал test.exe, но в целом все в точку.
ОтветитьУдалитьТакже могу порекомендовать утилиту Kaspersky Virus Removal Tool 2010 http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
делал всё по инструкции! НО!!! файл test.exe на рабочем столе нет, и 03014D3F.exe тоже не найдено! В папку Allusers нет допуска!!! Стоит win 7 ult. Реестр изменил как положено, после перезагрузки чёрный экран рабочего стола и ничего нет более! Кое-как через ctrl+alt+del запустил диспечер и проверил Dr.WEB (последним), ни чего не нашёл!!!! HELP ME!!!!чё делать-то???? может я чё сделал не так!!!
ОтветитьУдалитьА можно описать, что делать тем у кого windows7 Потому что есть различия.
ОтветитьУдалитьУ меня на рабочем столе не было "test.exe". Был "test-ещё 3 буквы, не помню.html" и отображался значёк, как сохранённая интернет страница.
"userinit.exe" изменить/удалить никак не получается. Пишет - "Нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением"
"03014D3F.exe" вообще не нашёл.
Подскажите пожалуйста, Что делать в такой ситуации?
доктор веб тоже не так уж хорош ползуесь нод32 с 2004 года, пока он не подводил меня, с 2005 года покупаю лицензию, просто надо хорошо настроит его и обновлят базы чаще
ОтветитьУдалитьдля меня был сложно..)
ОтветитьУдалитьописание не очень понятное)
потому что у меня BIOS подругому сделан...
не так как описано.
пришло в яндексе искать как поменять все..)
нету папки рабочий стол.
я перезагрузила комп и у меня баннер убрался а рабочий стол стал пустым..что делать???
Скажите, вы точно добавили файл explorer.exe в папку Windows зараженной системы? В реестре зараженной системы
ОтветитьУдалитьHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon в параметре "Shell" стоит "explorer.exe" (без кавычек)?
у меня вообще стоит C:\Document and Setting\All Users\Application Data\22CC6C32.exe
это опять зайти с диска и удалить файл этот?или переменовать?или что????
помогите плиз..)
Можно ли для загрузочного диска вместо Alkid Live CD (11-05-2011) использовать Portable версию Windows XP
ОтветитьУдалитьВсе. Капец. После 2х попыток ноут перестал загружаться и через CD и через флешку. какой умный вирус! Что делать????
ОтветитьУдалитьДалеко не факт, что у вас не сидит троян, который тихо ворует вашу персональную информацию (пароли, номера кредиток). Вы думаете, что у вас все в порядке, однако в один прекрасный момент хакеры смогут лишить вас денег. Еще раз повторюсь, что много раз мне доводилось реанимировать систему и вычищать от полчищ вирусов после НОДа. Даже если вы посмотрите на комментарии, то увилдите, что у многих системы были заблокированы баннером после НОДа.
ОтветитьУдалить"Можно ли для загрузочного диска вместо Alkid Live CD (11-05-2011) использовать Portable версию Windows XP"
ОтветитьУдалитьКак вы собираетесь входить в реестр ЗАРАЖЕННОЙ системы с помощью этого диска?
как мне вернуть рабочий стол?
ОтветитьУдалитьмне сказали скачать explorer.exe
как мне его скачать?
можно через диспечер задачь зайти в интернет и скачать?
или как??
подскажите а..
пли...
В конце статьи (UPD2) увидите синий текст "explorer.exe", нажмите на него и скачаете файл.
ОтветитьУдалитьkomsomolec, спасибо за статью, вирус вроде извел, а вот раб.стол все никак не могу реанимировать, на компе много инфы важной по работе, помогите кто знает что да как
ОтветитьУдалитьБлагодаря комсомольцу, излечился. Решил потренироваться и все ценное скопировал на резервный диск. После чего полез в самое, что ни на есть, разврат, пьянство и порнографию. Хню схватил мигом. Хня везде: похудание, фильмы, одноклассники... Один клик на фото - и Вы готовы...Везде. Антивирусы не ловят. Вирус модифицируют постоянно. Комсомольцу просьба: кроме 'explore.exe' загрузить 'userinit.exe' и 'tskmrg.exe'. Alkid слетел с флэшки, подключенной к зараженному компу: форматнул - поехало. Ставлю антивирь с http://intellifiles.blogspot.com/2011/04/dr-web-56.html. Буду смотреть.
ОтветитьУдалитьну я скачал его.
ОтветитьУдалитьнадо рзохивировать или что с ним делать?я как скачал на рабочий стол и все равно он не появился.
сижу через диспечер задачь.
разархивируете скачанный архив, скопируйте файл на флешку, зайдите под алкидом и следуйте инструкции, которую я написал на картинке в том же архиве.
ОтветитьУдалитьСдается мне (99%), что автор вируса тоже читает форумы
ОтветитьУдалитьСделал все по инструкции, с помощью флэшки, получилось все с первого раза. Большое ВАМ спасибо.
ОтветитьУдалитьСкажите, а для телефона с номером 89179558911 этот алгоритм удаления баннера подойдёт?
ОтветитьУдалитьЕстественно, мало того, он из них черпает информацию по разработке, а иногда и спрашивает про функции языка программирования...
ОтветитьУдалить"Скажите, а для телефона с номером 89179558911 этот алгоритм удаления баннера подойдёт? "
ОтветитьУдалитьСкорей всего да, попробуйте, отпишитесь о результиатах.
Привет! Спасибо за подробную инструкцию. Есть вопрос, в лив сиди флешку не видит, хотел explorer закинуть, что делать?
ОтветитьУдалитьВсе сделал по пунктам, с флешки експлорер скинул, просто заставка(( нажал ctrl+alt+del и... снова появился баннер((( помоги пожалуйста,с меня пиво!
ОтветитьУдалить"Привет! Спасибо за подробную инструкцию. Есть вопрос, в лив сиди флешку не видит, хотел explorer закинуть, что делать?" Попробуй загрузить алкид с режимом полной поддержки драйверов или просто закинь explorer.exe на флешку, на которую записываешь алкид.
ОтветитьУдалитьЯ не понимаю где инструкция.....
ОтветитьУдалитьпо востановлению файла explorer.exe
какая картинка???
обьясните более понятно плиз.
что да ка кделать.
либо напишите тут инструкцию..плиз...
не запускается instal.exe (WinXP): http://intellifiles.blogspot.com/2011/04/dr-web-56.html
ОтветитьУдалитьУстановка происходит в тихом режиме, надо подождать несколько минут.
ОтветитьУдалитьkomsomolec комментирует...
ОтветитьУдалитьУстановка происходит в тихом режиме, надо подождать несколько минут.
Ничего не происходит.
обьясните где инструкция по утановке explorer.exe
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалить"обьясните где инструкция по утановке explorer.exe"
ОтветитьУдалитьЗагружаетесь через Alkid Live CD/USB, заходите в "Мой компьютер", ищите диск с вашей зараженной системой (как правило, C:), далее заходите в папку Windows и в нее копируете explorer.exe.
Да, вирус коварен, некоторые файлы у меня пишутся по другому, которые нужно удалить. Всё сделал по инструкции. Но возникла другая проблема, когда запускаю систему мой профиль открывается на одну секунду и сразу же выходит и в безопасном режиме тоже самое. ПОМОГИТЕ ПОЖАЛУЙСТА!!!
ОтветитьУдалитьkomsomolec спасибо тебе!!! Alkid Live CD действительно работает! с проблемой такого рода я уже сталкивался и по разному с ней боролся, в некоторых случаях я просто переустанавливал винду, но в этот раз я 2 раза записывал (разную) винду на болванку, но установить так и не удалось. скачал Alkid Live CD - все СРАБОТАЛО!
ОтветитьУдалитьНе работает выше указанные действия, в каждом случае у всех по разному.
ОтветитьУдалитьТакой же банер, тлф би-лайн, набрал Ctrl+Alt+Del и всё заработало. Что-то ещё надо сделать?
ОтветитьУдалитьТакой же банер, тлф билайн, набрал Ctrl+Alt+Del, заработало. Что ещё надо сделать?
ОтветитьУдалитьКомсомолец большое спасибо за инструкцию. Очень помогло.
ОтветитьУдалитьв пункте 6 сказано только о XP и Vista. а что на семерке делать??
ОтветитьУдалитья скопировала файл в папке windows там мне спросили заменить вроде ну я нажала да а когда перезагрузила то ничего не изменилось.что делать?
ОтветитьУдалитьУ Висты и Семерки, насколько я знаю, система каталогов примерно одинакова, так что ориентируйтесь на пути с Висты.
ОтветитьУдалитьу меня получилось,при чем очень просто!:)
ОтветитьУдалитьописание здесь - http://www.youtube.com/watch?v=DmeiQSJneRk
CureIT не всегда находит вирус. Пока он будет искать в ваших тоннах файлов пройдут не одни сутки. Я же описал точное расположение файлов и написал, как поправить реестр. Мой способ менее времязатратный.
ОтветитьУдалитьничего все равно не поняла если честно.
ОтветитьУдалитькак вернуть рабочий стол.
Спасибо автору!!! Коротко и ясно описано. Без проблем получилось убрать баннер. Огромное спасибо!!!
ОтветитьУдалить"ничего все равно не поняла если честно.
ОтветитьУдалитькак вернуть рабочий стол."
Если ничего не поняли, то значит вам это и не нужно. Вы можете вызвать меня в частном порядке, за умеренную плату я сам удалю баннер, установлю защиту на компьютер. Оставьте свой номер мне на почту oprosfor@yandex.ru, я вам перезвоню, договоримся.
Спасибо автору за статью, все четко и ясно, даже я разобрался)
ОтветитьУдалитья бы сказал, что вы спасли мне только что появившуюся работу)
ОтветитьУдалитьна старой работе и вирусы были проще и ездить никуда не надо было...
а тут в 3 часа ночи случайно наткнулся на эту статью
шпасибо)
ребят привет!:)
ОтветитьУдалитьа кроме Акида похожие загрузчики помогут? Я Пробовал Использовать ОС miniXP в ней вся операционка наизнанку вывернута, все видно и ничего лишнего, прогами не напичкана наверно как Акид, но например файлов в каталогу Docum. & Sittings я не нашел типа test.exe и тд.
Нужна помощьв реанмиации ноута с данным баннером
.статья хорошая, но мне не помогла. файлов 03014D3F.exe и 22CC6C32.exe нет. удалил все файлы userinit.exe и теперь не грузится рабочий стол, но и не выскакивает банер. реестр редактирую, но после перезагрузки все как и было. Что дальше делать не знаю. Разве что скачать новый userinit.exe, но что-то подсказывает, что толку от этого не будет, так как вирус физически остался, а узнать как называются файлы я не могу. единственное, что делал не так как в статье, это загрузился с загрузочного диска и открыл диски через тотал коммандер. как понимаю разницы в этом нет.
ОтветитьУдалитьбаннер я убрала.
ОтветитьУдалитькак венуть рабочий стол я не знаю..
мне это очень нужно я делала все по инструкции.
скачала файл скопировала его в виндовс и все равно ничего.
в частном порядке?
в мурманск?
когда запускаю систему мой профиль открывается на одну секунду и сразу же выходит и в безопасном режиме тоже самое. ПОМОГИТЕ ПОЖАЛУЙСТА!!!
ОтветитьУдалитьта же фигня
Добрый день,сделал все как написано выше,но при загрузке диска выходит синий экран!!!Помогите!!!
ОтветитьУдалитьВ алкиде есть специальна программа, позволяющая редактировать реестр других копий Windows. Поэтому я его и порекомендовал. Читайте инструкцию, в ней подробно, четко и понятно объяснена последовательность действий для удаления баннера.
ОтветитьУдалитьЕсли не хотите сами избавиться, могу подъехать в частном порядке, пишите на мою почту oprosfor@yandex.ru свой номер телефона, я перезвоню, договоримся.
"когда запускаю систему мой профиль открывается на одну секунду и сразу же выходит и в безопасном режиме тоже самое. ПОМОГИТЕ ПОЖАЛУЙСТА!!!
ОтветитьУдалитьта же фигня "
Вирус модифицировался. Вы не первый с такой проблемой, но я лично с этим не сталкивался, если мне дать зараженный компьютер, я бы нашел причину.
а если вирус поставил пароль на биос?
ОтветитьУдалить))) Вы точно уверены, что знаете, что такое биос? =)
ОтветитьУдалитьЗдравствуйте!
ОтветитьУдалитьДействовал в соответствии с Вашими инструкциями. На рабочем столе не был обнаружен файл test.exe, в следствие этого удалять было нечего, остальное по пунктам.
Надпись исчезла, однако при загрузке виндоуса XP невозможно зайти в мой профиль (собственно, в любой). При активации профиля происходит соответственно: загрузка личных параметров.../сохранение личных параметров.../вылет в голубенький экран "Добро пожаловать".
Пожалуйста, подскажите, что делать.
Спасибки тебе чувак!!!!!!!!!!
ОтветитьУдалитьВ целом помогло, спасибо огромное. Но: на рабочем столе test.exe нет. В папке application data помимо 22cc6c32.exe был еще один подозрительный экзешник (забыл записать название, ступил) созданный в ту же секунду что и 22сс... - грохнул и его тоже. В папке system32 файла 03014d3f.exe не было. За неимением пришлось скопировать userinit.exe с загрузочной флэшки - помогло, комп запустился, причем, как он мне сказал "вышел из спящего режима". Нод показал себя сопливой девкой, пересаживаюсь на доктор веб.
ОтветитьУдалитьThanks!!!!
ОтветитьУдалитьIt just works:)
Спасибо помогло и Рабочий стол восстановился с помощью AVZ
ОтветитьУдалитьспасибо. автор направил действия в нужное русло :)
ОтветитьУдалитьпусть на депозите с экзешником эксплорера бмпшка 1.5 гиговая ;)
п.с. чтобы стол рабочий появился нужно путь к рабочему эксплореру указать в реестре в shell и будет счастье.
спасибо огромное!!!
ОтветитьУдалитьочень помогло!!!
как это сделать то?
ОтветитьУдалитьЗдравствуйте!
ОтветитьУдалитьПроблема НЕ решается!
Сделал пункты с 1 по 5.
Файлов "test.exe", "03014D3F.exe","22CC6C32.exe" – НЕТ.
Несмотря на то, что все скрытые и системные файлы показаны.
Заменил файлы explorer.exe и userinit.exe (указав в реестре нужное Значением параметра)
Проверил компьютер полностью с помощью последних версий Dr.Web LiveCD и Kaspersky LiveCD – результат нулевой!
Сайты бесплатных разблокировщиков типа: http://www.drweb.com/unlocker/index, http://virusinfo.info/deblocker/, http://support.kaspersky.ru/viruses/deblocker НЕпомогли
Выходит окошко:
Windows заблокирован.
Microsoft Security обнаружил нарушения использования сети интернет.
Использование не лицензионной версии Windows
Посещение порнографических сайтов, запрещенный на территории Российской Федерации.
Для разблокировки Windows необходимо:
Оплатить через любой терминал быстрой оплаты счет Билайна (Beeline) № 9643737301 на сумму 500 рублей. После оплаты на выданном теримналом чеке, Вы найдете Ваш персональный код разблокировки........
Окончание номера периодически меняется.
ПОМОГИТЕ ?????????
Проблема не решалась из-за того что я пользовался Alkid Live CD.
ОтветитьУдалитьКогда загрузился с ERD Commander 5.0, удалил вирус.
Alkid Live CD в реестре НЕ видит значение параметра «userinit.exe», а ERD Commander 5.0 указывает на путь где лежит вирус (файл system32.exe)
Благодарю за помощь!
Спасибо автору помогло.
ОтветитьУдалитьспасибо! сделал как по инструкции, только не было test и 03014d3f.exe, а следовательно userinit.exe я не удалял. рядом с 22cc6c32.exe был еще какой то экзешник, с назнанием че то типа ссссс, тоже удалил. кстати, я удалял все из загруженной винды. после того как загружается винда и вылазиет банер жму ctrl+alt+delete. дальше я так и не понял от чего именно открывается окно справки, но я делал так. в окне выбора пользователей я пару раз нажимал в левом уголке значек спарвки, потом заходил обратно в систему, если окна не было, то зажимал сначала ctrl и как на пианино проходился по всем клавишам f, затем та же процедура и зажатой клавишей пуск. затем опять ctrl+alt+delete, там пару раз по кнопке справки и захожу в систему. может больше половины из того что написал не надо, просто это все делается за 10 сек и разбираться особо не охота было. в итоге у нас есть одно окно, которое находиться за банером, а через него уже можно делать что угодно, но для начала нужно каким нибудь сторонним диспетчером задач убрать этот банер. я грохнул anvir. после этого уже удалял файлы, правил реестр. кстати, родной диспетчер уже работает (по крайней мере у меня)
ОтветитьУдалитьЗдравствуйте, меня зовут Сергей. Скачал Live запустил комп, с рабочего стола удалил не test.exe, а другой exe, файлов 03014d3f.exe, 22cc6c32.exe не нашел (ни поисковиком, ни руками), в реестре все поменял как надо, так же скопировал в виндос «userinit.exe» он предложил поменять существующую (у нее размер был другой и я согласился), в общем все как надо. Перезагрузил, однако при загрузке Виндоуса невозможно зайти в свой профиль (собственно, в любой, даже в безопасном режиме). При активации профиля происходит соответственно: загрузка личных параметров.../сохранение личных параметров.../вылет в голубенький экран "Добро пожаловать".
ОтветитьУдалитьПожалуйста, подскажите, что делать.
тт
ОтветитьУдалитьу кого винда 7 нет файла test.exe и 03014d3f.exe ,
ОтветитьУдалитья скинул с другого компа userinit.exe . при загрузке стал появлятся только чёрный экран без банера, вызвл дипечер задач shift+ctrl+esc , выполнить>regedid поменял все значения как было сказано, и завершил процес winlog, и всё нормально зашлось!почитил сканерами нашёл какието вирусы удалил, перезгрузил, всё нормально работает!!!
komsomolec, спасибо за подробную инструкцию. помогло.
ОтветитьУдалитьу меня "sfc /scannow" не находит... что делать???
ОтветитьУдалитьЗдравствуйте, у меня теже проблемы с вирусом,только номер 8-917-168-29-81. Могу ли я воспользоваться вашей инструкцией? Заранее благодарен!
ОтветитьУдалитьВсё более менее понятно, единственое что нету не сидюка не флешки, просто цапанул зараженный винт к другому компу, вопрос такой как из рабочий винды запустить редактр реестра зараженной винды? желательно линк на прогу если не большая, качать много не могу так как сижу с 3джи
ОтветитьУдалитьсейчас проделал всю процедуру - помогло, но не на долго
ОтветитьУдалитьпосле проверки компьютера касперским - вылезло сообщение о вирусе в автозагрузке - после чего перезагрузка и опять тоже самое
сейчас попробую проделать все заново и проверить систему из под лайвСД
думаю нужно удалять все сомнительные ехе файлы
так только что обнаружил еще один файл который делает что-то с системой правда не запомнил его название
ОтветитьУдалитьчто то типа taskmjr.exe вроде но точно не помню
фишка в том что его каспер обнаружил как вирус перед блокировкой и у него такой же значек как и у userinit.exe был
сейчас посмотрим к чему это меня приведет)
надеюсь я правильно его удалил)
Скажите пожалуйста какое значение должно быть в реестре у параметра Taskman в разделе "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon" ???????
ОтветитьУдалитьсейчас стоит C:\Docum...\Alex\fswagz.exe
я подозреваю что это не то что должно быть...
похоже троян обновился...
ОтветитьУдалитьСпасибо за статью, но все же осталась одна проблема (вирус модифицировался по всей видимости) при вызове диспетчера задач баннер вновь появляется. Подмена диспетчера задач, как говорит avz, как это исправить...
ОтветитьУдалитьОгромное спасибо автору статьи. Работает на все 100% :)))
ОтветитьУдалитьМ О Л О Д Е Ц komsomolec!!! СПАСИБО! Всё работает.
ОтветитьУдалитьВчера хватанут. NOD начал блокировать, но видимо не успел.В оканцовке я смотрел на этот блокер.Загрузился с диска Alkid Live , удалил два exe файла в С/ProgramData. Один 22СС6С32.exe второй что-то МММММММММ.exe Перезагрузился.!? Предстал чёрный экран, набрал ctrl+alt+del . Через новую задачу залез в комп, запустил востановление системы.ПЕРЕЗАГРУЗКА!? Блин какбудто и не хватал ничего, всё работает ровно.Проверил на вирус,"Kaspersky Virus Removal Tool" попался один. У меня VISTA
ОтветитьУдалитьВНИМАНИЕ!!!
ОтветитьУдалитьВНИМАНИЕ ВСЕМ, КТО СТОЛКНУЛСЯ С ПРОБЛЕМОЙ РАБОЧЕГО СТОЛА (аналогично той, что описал Сергей в сообщении 3 июня 2011 г. 18:16). Скорее всего у вас отсутствует файл "userinit.exe". Проверьте его наличие в директории C:\WINDOWS\system32\. Также возможно, что файл у вас есть, но инфицирован. Попробуйте заменить его на файл с рабочей машины.
Решала другу эту проблему с банером (тоже не загружался рабочий стол), и я совершенно случайно заметила, что отсутсвует сей файл в папке system32 =) После добавления (наконец-то!!) удалось полноценно запустить винду)))
Добрейший komsomolec! Огромноейшее Вам спасибо за эту статью))) Без Вас бы не справилась))) Ещё раз благодарю!
С уважением, Алёна.
ОГРОМНОЕ СПАСИБО!!!
ОтветитьУдалитьУдалил это бан долбаный))))
Я и незнаю что бы без вас делал.
Еще раз спасибо.
+1 в копилку моего опыта :D
Спасибо выручил.Правда я не нашел файла test.exe.Дополнительно были заражены файлы C:\WINDOWS\system32\taskmgr.exe
ОтветитьУдалитьC:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ dllcache\taskmgr.exe
C:\WINDOWS\system32\ dllcache\userinit.exe
После удаления вируса рабочий стол не загружается.надо заходить через диспетчер задач-новая задача-regedit-прописал значение shell -"C:\WINDOWS\explorer.exe"
Все работает все прекрасно.Удачи в сети.
Большое спасибо! помогло, правдо немного помучился с bios чтобы ноут с флэшки грузился.
ОтветитьУдалитьЗдравствуйте, записала на диск эту файл .iso, когда комп перезагружается - он пишет чтоб я любой клавишей подтвердила загрузку с диска, я подтверждаю, но при этом у меня все также висит этот баннер((((( Что я делаю не так?
ОтветитьУдалитьА у меня знакомый подхватил этот вирус. Я вставил кго жесткий себе в комп, скопировал userinit.exe, и запустил у себя на рабочем столе.
ОтветитьУдалитьПотом с его компа сделал все по инструкции. И у него все заработало.
А вот со своего компа не нашел 03014D3F.exe" и "22CC6C32.exe". userinit.exe скопировал с рабочего компа, скопировал explorer.exe, редактировал реестр, ставил shell -"C:\WINDOWS\explorer.exe", но постоянно одно и то же: ВХОД В СИСТЕМУ - ЗАВЕРШЕНИЕ СЕАНСА, и после перезагрузки и загрузки с диска, в реестре значение userinit меняется на userinit (а я ставил как в инструкции c:\windows...).
Может у кого есть какие мысли по этому поводу????
С Уважением Роман!!!
я хочу заменить explorer.exe пишет у вас нет прав, нет доступа, помогите плиз! так же нет прав удалять Юсеринит например
ОтветитьУдалитьНе могу заменит Эксплорер.ехе, пишет нет прав и т.д. Так же не могу удалить Юсеринит ну вообще некоторые файлы, помогите Пожалуйста!
ОтветитьУдалитьЗаранее благодарен!
Не могу заменит Эксплорер.ехе, пишет нет прав и т.д. Так же не могу удалить Юсеринит ну вообще некоторые файлы, помогите Пожалуйста!
ОтветитьУдалитьЗаранее благодарен!
у меня вообще проблема, ставлю в BIOSe загрузку с USB-HDD, начинается загрузка, далее на черном экране какие-то значения и всё...никаких предложений о загрузке Live CD с разными параметрами не поступает...что делать?
ОтветитьУдалитьКогда дошел до пункта с реестром, до столькнулся с ошибкой: Registry Access Error, ret=1017
ОтветитьУдалитьПри попытке загрузить или восстановить файл реестра выяснилось, что файл имеет неверный формат.
Что делать?
всё равно я обновлю свой вирус. Пока не все доходят на жтот форум. Денги приходят каждый день. Народ быдло. так вам и надо.
ОтветитьУдалитьНепомог ни один из вышеперечисленных способов.
ОтветитьУдалитьВирус продолжает прогрессировать . Обидно что брат вчера словил. а я пол дня мучаюсь 8(((
тефлефон переодически меняется
Файлов с вирусами никаких в никаких папках ненашёл. И даже похожих на них.
В параметрах реестра тоже всё норм (в тех что указаны)
Единственное только в /Image File Execution Options нашёл подраздел IEInstal.exe на всякий случай удалил. Но результата никакого.
Винда 7ка .
А у меня такое же окно вируса, вот только номер телефона 8-917-812-82-04, это что, уже другой троян?
ОтветитьУдалитьСпас комп подруги!
ОтветитьУдалитьБольшое Вам человеческое спасибо!
Хорошо, что на свете есть ещё вот таки ЛЮДИ как Вы!
Дай вам Бог здоровья и процветание вашему сайту!
"всё равно я обновлю свой вирус. Пока не все доходят на жтот форум. Денги приходят каждый день. Народ быдло. так вам и надо. "
ОтветитьУдалитьДорогой "вирусописатель"-школьник, это не форум, а комментарии к блогу. Так что кого называть быдлом, я бы еще подумал. Ну а если этот вирус хотя бы чуточку поднимет компьютерную грамотность населения, я был бы рад.
в HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon" “Userinit стоит значение X:\i386\system32\userinit.exe, делаю как вы сказали, при загрузке рабочий стол не загружается, опять загружаюсь через CD захожу в реестр, и опять стоит значение X:\i386\system32\userinit.exe, файл explorer.exe есть, скачала ваш, в папку виндовс он не копируется.
ОтветитьУдалитьСпасибо автору - грохнул по инструкции как описано в этой ветке. Единственное LiveCD не было загрузился из под РескуеДиск касперского старенького - файл с вирусом грохнул и переименовал как указал автор только из под линукса. после перезагрузки ярлычки не появились соответсвенно , Ctrl+Alt+Del - меню "Файл" - выполнить - regedit.exe и по иструкции правка реестра - все заработало.
ОтветитьУдалитьДругой порно-банер сегодня на номер 9037073861 - дал перегрузиться в безопасном режиме , ветки рееста в порядке были . АйсУтилдиты показали что в автозагрузке по адресу c:\Documents and Settings\Admin\26212444.exe - вот это и был вирус - просто удаляеться. Хочеться отметить что утилиты с Др.Вэб и с Касперского - так ниодин вирус и не увидели - все вручную пришлось удалаять
А где можно скачать taskmgr.exe для Windows xp?????? судя по тому, что у меня он весит 26кб и диспетчер задач не открывается - он заражен!
ОтветитьУдалитьта же проблема, что и у Романа.. исправляю все по инструкции, а оно возращается в значение userinit опять.. и компьютер загружается, а через пол минуты снова переходит в ждущий режим.. помогите пожалуйста..
ОтветитьУдалитьБольшое спасибо!!! Помогло! Всё внятно написано, даже для тех кто в танке)
ОтветитьУдалитьСпасибо Комсомольцу!
ОтветитьУдалитьСделал все по схеме.
Рабочий стол не загружается.
Скачал из архива explorer.exe, установил.
Повторно прописал адрес к файлу explorer.exe в shell.
При загрузке explorer.exe - открывается только папка Мои документы. Рабочий стол так и остается пустым.
Подскажите что в данном случае делать?
Еще раз огромное спасибо Комсомольцу за безвозмездные и работающие советы как вылечить комп от смсного гав№на.
ОтветитьУдалитьТолько что решил задачу с загрузкой рабочего стола:
1. Сделать все по предложенному алгоритму
2. (Если рабочий стол пустой) Ctrl+Alt+Del выбираем Файл-Новая задача - выбираем с диска(флешки) куда записали образ от уважаемого Комсомольца с Alkid файл avz.exe в папке AVZ
3. В AVZ меню выбираем "Файл/Восстановление системы". Пометить позиции "9. Удаление отладчиков системных процессов" и "16. Восстановление ключа запуска Explorer", после чего нажать "Выполнить отмеченные операции".
4. Перезагрузиться
Лично у меня все заработало только после этого.
Всем удачи! Я простой пользователь. Поэтому и у вас получится )
спасибо большое)) все работает))
ОтветитьУдалитьДобрый вечер! помогите пожалуйста! Я сделал образ на флешку,загрузился с нее,но войдя в мой компьютер как было сказанно в пункте №6,я не обнаружил Диска С. Там только папка документы,Ram disk (B) объемом 453Mb и съемный диска (Х).Больше ничего.Подскажите,что дальше делать и как быть,за ранее спасибо!
ОтветитьУдалитьДобрый день!
ОтветитьУдалитьПопробовал сделать как описано, но при запуске после -вывешивается тоже что и было, короче всё без изменений, что делать?
Добрый день!
ОтветитьУдалитьПопробовал как Вы изложили, но после изменения в БИОСЕ - запустить с дискаСД и нажатия на Ф10 всё как и было ни чего не меняется!!!
Что делать???
У меня не работает курсор и мышь,появился рабочий стол,но влесть не могу не куда. Грузил и с драйверами и без. Что делать?
ОтветитьУдалитьНе работают курсоры,прилюбой загрузке. Что делать
ОтветитьУдалитьПривет. Всё грузится,но есть проблема. Не работает курсор и не могу выйти в мой компьютер уже из проги. Что делать? Спасибо.
ОтветитьУдалитьЭтого пи-д-о-ра, использующего даннай вирус, надо ВЫ-Е-БАТЬ, чтобы со рта потекло, а потом в череп нас-рать! Го-н-дон - вычислю - пеняй на себя, и тогда у тебя денюшки рекой польются а не закапают! Только на таблетки. Жди беды!
ОтветитьУдалитьКто не спрятался - я не виноват!
не работает клавиатура и мышь. В BIOS войти не могу. ?.
ОтветитьУдалитьАктуален ли данный способ для номеров (918)? Текст баннера такой же, и номер МТС.
ОтветитьУдалитьспасибо все с 1 раза сделал на ноутбуке а что касается Alkid Live CD то я ее просто запиал на USB флешку предворительно прошив флешку
ОтветитьУдалитьделал всё по инструкции 3 раза.проверил на вирусы Dr Web с флешки,которую записал.он удалил вирусы.после этого вроде всё стало нормально,комп загрузился.попробовал вызвать деспетчер задач и опять этот банер появился.подскажите что я не так делаю.
ОтветитьУдалитьа подскажите, если жёсткий с заражённого компа поставить как доп жёсткий на здоровый комп, можно обойтись без беготни с флешкой и дисками?
ОтветитьУдалитьПодправьте инструкцию.
ОтветитьУдалитьНадо запускать не regedit в строке ВЫПОЛНИТЬ а
regedit(remote) в меню ПУСК-и там где-то это есть.
Просто не помню в каком подменю конкретно.
После этого не будет закрываться сеанс сразу после запуска системы.
Да и заражен действительно не только этот файл
у меня были ещё заражены файлы
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ dllcache\taskmgr.exe
C:\WINDOWS\system32\ dllcache\userinit.exe
Всё надо заменить на рабочие с другого компа.
можно, для редактирования реестра системы на зараженном винчестере используйте: https://sourceforge.net/projects/regeditpe/
ОтветитьУдалитьСпасибо за статью!
Актуально для номерателефона:8-918-200-69-12. Изменяются файлы: userinit.exe, taskmgr.exe, подменяется параметр shell и появляется файл 22CC6C32.exe.
Благороднейшее СПАСИБО!!!
ОтветитьУдалитьБыли некоторые отклонения от действий предложенных Вами, но в целом все обошлось успешно!!!
Спасибо!
Нарезал на флешку, и при загрузки ее пишет "reboot and select proper boot device
ОтветитьУдалитьor insert boot media in selected boot device and press a key" мля хз че делать (на СД записать не могу)