![]() |
Помогите. Как убить вирус по активации Windows?!
Вложений: 1
Всем привет! был скачан вирус по активации виндоуса
Значит окно активации не такое как у всех,а просто неграмотно нарисованное и вообще с большим кол-вом ошибок в орфографии, это окно выскакивает как в обычном режиме так и в безопасном,диспетчер задач и прочее при первом старте с безопасного выдавало ошибки,о том что повреждены и не могут быть открыты,отладка не помогла. После этого с большой редкостью можно вообще загрузить что-либо в безопасном режиме,ибо выскакивает сразу после загрузки окно активации(в окне нужноо тправить смс с текстом и тока тода типа будет все предотвращено) Помогите,если можете. Желательно без убийства системы,ибо на диске "С" очень важная инфа и сохрнить я ее тоже не могу из-за этой долбанной активации. Пробовал запускать ливсд Доктора Веба,ничего не грузится с привода. Что делать?! |
Попробуйте загрузить компьютер в режиме отладки (по F8 при загрузке системы) и сделать логи по этим правилам
|
Ссылку на вирус необходимо убрать.
Работает клавиша Win. Оттуда уже можешь запустить эту версию AVZ (полиморфный AVZ в ответе thyrex) Заходим в Файл -- Восстановление системы. Отмечаем пункты 1, 6 и "Выполнить отмеченные операции". Можно будет запустить уже любые утилиты. Делаем логи и выкладываем. |
спасибо сейчас приступим к выполнению
|
Цитата:
|
нет,к сожалению то ничего не проходит ,сейчас поставил Windows Live CD, с помощью него наконец-то получил доступ к винту,сканируюсь Ad-Aware Se Personal,пока выявлено тока вот это,как опасный объект: с:\windows\noexe.exe на этой винде к сожалению все старое,даже каспер и тот 5 выпуска.
|
Soyer888,
Т.е. клавиша Win не работает? |
там вообще ничего не работает уже,правда самое удивительное что в безопасном с командной строкой,в строке тока в реестр можно залезть и на этом все заканчивается
|
Странно. Специально заразился. Клавиша Win работает.
![]() Цитата:
|
но у меня не работает ничего,такого не получается вообще,может что не так делаю,хотя прощу тут уже быть не может.
|
СureIt его пока не видит.
На завтра уже видеть должен. Вирус ушел на анализ. Скачаешь новую версию и запустишь из под LiveCD. |
итак каким то чудом я запустил АВЗ с диска , поставил скан,запустил я это через диспетчер задач ибо кнопка Win так и не работает,пробовал не однократно из всех клавиш работают только Шифт и вызов экран клавы. Все остальное в бане полном.Диспетчер задач тоже странно но запустился,до этого через ЛивСД попал я на винт,там посмотрел по реестру некоторые моменты которые посмотрел на схожих проблемах в гугле ничего подозрительного не заметил. Подскажи как ты избавился от этого чуда?!
|
Я так понимаю в диспетчер задач вы попасть можете. Сделайте логи http://forum.oszone.net/thread-98169.html. Кофейная гуща не смогла дать ответ.
|
Цитата:
|
специально заразился вот лечение
Клавиша Win работает это первое заходим в папку C:\Windows, отображаем скрытые файлы и папки, находим файл NOEXE и переименовываем в _Noexe (или при помощи LiveCD дистрибутива удаляем, к сожалению на моей конфигурации не один LiveCD не работает) и удаляем, перегружаемся и видим нормальный рабочий стол, только вирус удаляет все что есть в Автозагрузке и нарушает ассоциации с *.lnk остается применить Твик Код:
Windows Registry Editor Version 5.00 пришли мне его на почту или в PM а то я его стер |
Антивирус Касперского его уже определяет см. здесь, DrWeb ещё нет
Soyer888, проведите проверку с помощью свежей версии AVPTool, сделайте логи по правилам. Попробуйте добраться до AVZ через диспетчер задач или по одной из методик здесь, здесь или здесь Проверьте в рестре параметры HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Если "RestrictRun"=dword:00000001, измените на "RestrictRun"=dword:00000000, проверьте также ключ "Run" Попробуйте переименовать avz в iexplere.exe |
Цитата:
|
Вирус проанализирован - копирует себя в C:\WINDOWS\NoExe.exe и устанавливает ассоциацию на команды open и runas EXE-файлов. При этом %1 в команде отсутсвует, то есть запуск файла так и не происходит. Вирус повреждает Диспетчер Задач ("taskmgr.exe ... должно быть закрыто") при запуске - сам файл taskmgr.exe не портится. В автозапуск не прописывается, включается, похоже, перехватываяя запуск, например, ctfmon.exe или еще чего-либо. (Путем ассоциации файла).
Цитата:
|
если можешь загрузится с LiveCD посмотри в реестре HKLM-Microsoft-WindowsNT-Current version-Winlogon есть типа параметр Shell. там должно быть прописано только Explorer.exe. Если есть чтото еще, отредактируй и оставь только Explorer.exe, и перегрузи машину
|
unick12345, смотрел этот параметр все в норме ничего лишнего
|
Soyer888, не знаю если тут это не запрещено, на другом форуме есть уже много описаний того что можно сделать в данном случае http://www.cyberforum.ru/
|
Severny, у меня значит работает только безопасный режим с командной строкой,удивительно,но теперь в нем не появляется это окно с активацией,диспетчер запустился с первого раза,каспера скачал щас буду пробовать. сканил AVZ показал все типо нормально ничего нету.
|
|
unick12345, спасибо,щас посмотрим,папку Temp я отформатировал,когда был запущен с Live CD, так же ненароком вместо удаления папки hosts по адресу C:\WINDOWS\system32\drivers\etc\hosts я форматнул всю папку etc , но на окно активации ничего не подействовало. В реесте по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] тоже все отлично файл userinit.exe, написан правильно. потом файл explorer.exe тоже в порядке. Но есть одна странность файл explorer.exe помечен в том адресе где он находится на диске С: таким же логотипом как и вирус,который был скачан и установлен,сам установочник вируса тоже был удален. НЕ пойму что дальше делать. По реестру не особо силен.
|
адреса быть не должно. он автоматом воспринимает системную папку.
|
Pili, Run все в норме.уже ни раз смотрел
|
Цитата:
|
если говоришь что при безопасном режиме окно не появляется, значит стоит гдето в автозагрузке. безопасный режим ее не воспринимает.
проверь ключи HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Run HKEY_Current user\SOFTWARE\Microsoft\Windows\Run и все что связано с run. видимо там есть чтото очень не нужное. |
unick12345, да,тока это окно все рано потом появляется но его можно задвинуть любым приложением,например Диспетчер задач или еще чем нить другим,но самом окно с места не сдвигается,кстати каспер не ставится этот новый,он просто не запускается
|
Pili, вопрос: а как мне сюда то прислать эти логи,я вот почти доделал,но в безопасном инета у меня нету вообще,тока что проверял,не работает.на диск я их тоже не запишу,ибо кроме запуска программы какой-либо больше ничего не работает. Проводник не открыватся сразу окно активации выскакивает и все банит.
|
Цитата:
А вообще установите лицензионную версию windows - см. Правила раздела п.7. |
Цитата:
Цитата:
Pili, дружище,у меня 2 компа,один с которогоя пишу и второй ноутбук,который в этом плачевном состоянии Pili, Цитата:
|
Цитата:
|
Soyer888, У вас на выбор несколько вариантов:
- Freerating.exe определяют уже несколько антивирусов, вы можете проверить зараженную систему антивирусами на другом компьютере, подключив винт (как вариант - скачать свежий AVPTool). - Самостоятельно проверить все ветки реестра автозагрузки - см. здесь - Установить лиц. версию windows. - Сделать и выложить логи. |
итак скачал новый cureit решил им проверить,может уже добавили в базу этого вируса,значит загружаюсь я с безопасного режима с поддержкой командной строки, ибо в других вариантах выползает сразу это окошко и не дает ничего сделать,здесь оно тоже появляется но по крайней мере его можно заслонить диспетчером и прочими приложениями,но интересно то что теперь даже cureit я не могу запустить для проверки,сразу выскакивает это окно на передний план. Так вот значит пока я нахожу через "ВЫПОЛНИТЬ" - этого cureiT на диске я замечаю,что мой компьютер теперь отображается так же как и вирус,который был установлен. ЧТо это может значить?! Значит AVZ уже тоже не работает,даже через этот режим.
|
Цитата:
Soyer888, изменение значка Мой Компьютер косвенно указывает на то, что системный файл C:\WINDOWS\explorer.exe заменен вирусом, если он отображается в виде значка вируса, а не значка компьютера, это так. Если у Вас файл C:\WINDOWS\system32\dllcache\explorer.exe имеет значок компьютера, скопируйте второй файл вместо первого. Если у него тоже значок вируса, тогда надо скопировать с диска Windows или с другого ПК. |
|
Котяра, спасибо,повезло,что файл по адресу еще был целый ,произвел замену и обнаружил еще один дефект файл NoExe.exe тоже заражен этим вирусом,все это я просматриваю с загрузочного диска Windows Live CD
|
Цитата:
P.S. После этого могут перестать запускаться программы, но NoExe.exe необходимо удалить! |
Котяра, спасибо,а то я вот и ищу его в своей рабочей системе, терь ясно,почему его нету. Так и сделаем.
|
спасибо всем наконец то вирус удален. но теперь как же восстановить его проделки?! ибо не один ехе файл не работает и даже восстановление нельзя сделать из-за отсутствия самого файла,что теперь можно сделать?!
|
Цитата:
|
Котяра, спасибо вам огромное,буду ждать, может еще посоветуете каким файрволом лучше пользоваться,буду вообще примного благодарен
|
Есть вариант с утилитой AVZ. Переименуйте ее в 38491.com и запустите. Выберите "Файл", "Восстановление системы". Отметьте пункт 1 и подтвердите операцию.
Либо отредактируйте реестр путем переименования regedit.exe в regedit.com. HKEY_CLASSES_ROOT\exefile\shell\open\command Параметр по умолчанию сменить на "%1" %*, для чего кликнуть параметр по умолчанию (в нем NoExe.exe) и ввести "%1" %*. HKEY_CLASSES_ROOT\exefile\shell\runas\command Тоже самое. Если не умеете, лучше не лезьте! Обращаю внимание, для того, чтобы сменить .exe на .com, надо в "Мой компьютер" выбрать "Сервис", "Свойства папки". Кликнуть "Вид" и снять флажок "Скрывать расширения для...". Либо третий вариант: скачать и запустить http://slil.ru/27679877 Но не факт, что заработает. |
Котяра, спасибо огромное первый вариантом воспользовался и сразу все заработало,большое спасибо за участие в моей проблеме. А вы можете посоветовать нормальный файрволл?! желательно бесплатный. Антивирусник у меня Dr WEB 5.0.
|
Борьба вроде к концу. :)
Пришел ответ от Dr.Web Цитата:
|
Severny, спасибо,надо щас будет веба обновитьбудем знать теперь
|
Soyer888,
Внимательнее желательно читать Уже запускались бы давно все файлы. |
Severny, так это стало работать после убийства файла NoExe.exe при том не с самой винды,а с Windows Live CD,но все равно спасибо
|
Цитата:
|
Severny, не спорю,но ко мне комп попал видать не в первом его состоянии,тот кто мне его дал,сказал,что да появлялся по началу стол и Вин работало,но он ничего не смог сделать и отдал мне уже в том этапе,когда ничего не работало
|
Время: 19:56. |
Время: 19:56.
© OSzone.net 2001-