Помогите. Как убить вирус по активации Windows?!
 

Всем привет! был скачан вирус по активации виндоуса
Значит окно активации не такое как у всех,а просто неграмотно нарисованное и вообще с большим кол-вом ошибок в орфографии, это окно выскакивает как в обычном режиме так и в безопасном,диспетчер задач и прочее при первом старте с безопасного выдавало ошибки,о том что повреждены и не могут быть открыты,отладка не помогла. После этого с большой редкостью можно вообще загрузить что-либо в безопасном режиме,ибо выскакивает сразу после загрузки окно активации(в окне нужноо тправить смс с текстом и тока тода типа будет все предотвращено) Помогите,если можете. Желательно без убийства системы,ибо на диске "С" очень важная инфа и сохрнить я ее тоже не могу из-за этой долбанной активации. Пробовал запускать ливсд Доктора Веба,ничего не грузится с привода. Что делать?!

Попробуйте загрузить компьютер в режиме отладки (по F8 при загрузке системы) и сделать логи по этим правилам

Ссылку на вирус необходимо убрать.
Работает клавиша Win.
Оттуда уже можешь запустить эту версию AVZ (полиморфный AVZ в ответе thyrex)

Заходим в Файл -- Восстановление системы.
Отмечаем пункты 1, 6 и "Выполнить отмеченные операции".
Можно будет запустить уже любые утилиты.
Делаем логи и выкладываем.

спасибо сейчас приступим к выполнению

Получилось?

нет,к сожалению то ничего не проходит ,сейчас поставил Windows Live CD, с помощью него наконец-то получил доступ к винту,сканируюсь Ad-Aware Se Personal,пока выявлено тока вот это,как опасный объект: с:\windows\noexe.exe на этой винде к сожалению все старое,даже каспер и тот 5 выпуска.

Soyer888,
Т.е. клавиша Win не работает?

там вообще ничего не работает уже,правда самое удивительное что в безопасном с командной строкой,в строке тока в реестр можно залезть и на этом все заканчивается

Странно. Специально заразился. Клавиша Win работает.

Цитата:

Цитата Soyer888 Ad-Aware Se Personal, »

Эта поделка только "шухер" может отыскать.

но у меня не работает ничего,такого не получается вообще,может что не так делаю,хотя прощу тут уже быть не может.

СureIt его пока не видит.
На завтра уже видеть должен.
Вирус ушел на анализ.
Скачаешь новую версию и запустишь из под LiveCD.

итак каким то чудом я запустил АВЗ с диска , поставил скан,запустил я это через диспетчер задач ибо кнопка Win так и не работает,пробовал не однократно из всех клавиш работают только Шифт и вызов экран клавы. Все остальное в бане полном.Диспетчер задач тоже странно но запустился,до этого через ЛивСД попал я на винт,там посмотрел по реестру некоторые моменты которые посмотрел на схожих проблемах в гугле ничего подозрительного не заметил. Подскажи как ты избавился от этого чуда?!

Я так понимаю в диспетчер задач вы попасть можете. Сделайте логи http://forum.oszone.net/thread-98169.html. Кофейная гуща не смогла дать ответ.

Была схожая ситуация)Окно активации действительно не такое,как у всех,правда видок у него был другой,на чёрном фоне красное окно,с требованием отправить SMS на четырёхзначный номер.И ошибок в орфографии не наблюдалось)При этом зайти в систему не представлялось возможным ни через обычную загрузку,ни в безопасном режиме(когда окно появилось при работающей системе оно закрывало больше половины экрана,программы запускались,но за ним,оно оставалось на переднем плане.После перезагрузки системы ступор,и это окно.)Ничего не смог сделать,снёс Винду.Зашёл со второй,работоспособной ОСи (она у меня на диске:E)Зашёл на диск :C,где стояла заражённая система,там,просто на диске С,(не в папках) файл ехе.-Windows NT(вроде бы так назывался...)Ярлык стандартный,как под DOS.Где ещё эта зараза успела прописаться не известно.Запустил,точно,выскакивает это окно активации...)Где-то я эту заразу заархивировал,найду,сброшу...

специально заразился вот лечение

Клавиша Win работает это первое
заходим в папку C:\Windows, отображаем скрытые файлы и папки, находим файл NOEXE и переименовываем в _Noexe (или при помощи LiveCD дистрибутива удаляем, к сожалению на моей конфигурации не один LiveCD не работает) и удаляем, перегружаемся и видим нормальный рабочий стол, только вирус удаляет все что есть в Автозагрузке и нарушает ассоциации с *.lnk

остается применить Твик

to Severny ты отослал файл в Kaspercky lab или еще кудато?
пришли мне его на почту или в PM а то я его стер

Антивирус Касперского его уже определяет см. здесь, DrWeb ещё нет
Soyer888, проведите проверку с помощью свежей версии AVPTool, сделайте логи по правилам. Попробуйте добраться до AVZ через диспетчер задач или по одной из методик здесь, здесь или здесь
Проверьте в рестре параметры HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Если "RestrictRun"=dword:00000001, измените на "RestrictRun"=dword:00000000, проверьте также ключ "Run"
Попробуйте переименовать avz в iexplere.exe

Вирус проанализирован - копирует себя в C:\WINDOWS\NoExe.exe и устанавливает ассоциацию на команды open и runas EXE-файлов. При этом %1 в команде отсутсвует, то есть запуск файла так и не происходит. Вирус повреждает Диспетчер Задач ("taskmgr.exe ... должно быть закрыто") при запуске - сам файл taskmgr.exe не портится. В автозапуск не прописывается, включается, похоже, перехватываяя запуск, например, ctfmon.exe или еще чего-либо. (Путем ассоциации файла).
iexplore.exe

если можешь загрузится с LiveCD посмотри в реестре HKLM-Microsoft-WindowsNT-Current version-Winlogon есть типа параметр Shell. там должно быть прописано только Explorer.exe. Если есть чтото еще, отредактируй и оставь только Explorer.exe, и перегрузи машину

unick12345, смотрел этот параметр все в норме ничего лишнего

Soyer888, не знаю если тут это не запрещено, на другом форуме есть уже много описаний того что можно сделать в данном случае http://www.cyberforum.ru/

Severny, у меня значит работает только безопасный режим с командной строкой,удивительно,но теперь в нем не появляется это окно с активацией,диспетчер запустился с первого раза,каспера скачал щас буду пробовать. сканил AVZ показал все типо нормально ничего нету.

http://www.cyberforum.ru/security/th...2%FC+%F1%EC%F1
http://www.cyberforum.ru/security/th...2%FC+%F1%EC%F1

unick12345, спасибо,щас посмотрим,папку Temp я отформатировал,когда был запущен с Live CD, так же ненароком вместо удаления папки hosts по адресу C:\WINDOWS\system32\drivers\etc\hosts я форматнул всю папку etc , но на окно активации ничего не подействовало. В реесте по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] тоже все отлично файл userinit.exe, написан правильно. потом файл explorer.exe тоже в порядке. Но есть одна странность файл explorer.exe помечен в том адресе где он находится на диске С: таким же логотипом как и вирус,который был скачан и установлен,сам установочник вируса тоже был удален. НЕ пойму что дальше делать. По реестру не особо силен.

адреса быть не должно. он автоматом воспринимает системную папку.

Pili, Run все в норме.уже ни раз смотрел

Вам уже несколько раз напоминали, сделайте логи по правилам, тем более AVZ вы уже запускали.

если говоришь что при безопасном режиме окно не появляется, значит стоит гдето в автозагрузке. безопасный режим ее не воспринимает.
проверь ключи
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Run
HKEY_Current user\SOFTWARE\Microsoft\Windows\Run
и все что связано с run. видимо там есть чтото очень не нужное.

unick12345, да,тока это окно все рано потом появляется но его можно задвинуть любым приложением,например Диспетчер задач или еще чем нить другим,но самом окно с места не сдвигается,кстати каспер не ставится этот новый,он просто не запускается

Pili, вопрос: а как мне сюда то прислать эти логи,я вот почти доделал,но в безопасном инета у меня нету вообще,тока что проверял,не работает.на диск я их тоже не запишу,ибо кроме запуска программы какой-либо больше ничего не работает. Проводник не открыватся сразу окно активации выскакивает и все банит.

Логи нужны из обычного режима, в безопасном AVZ мало что покажет. Выше были инструкции как в обычном режиме (методом залипания клавиш например) можно добраться до проводника и AVZ. Вы же утилиту как-то записали, так же и логи заберите, на крайний случай винт можете снять и к другому компьютеру подключить.
А вообще установите лицензионную версию windows - см. Правила раздела п.7.

Severny, слушай у меня тоа вот это и работает,пробовал сделать логи никак ничего не выходит,никакой софт на установку вообще не запускается,помоги))) как можно вот этой утилитой "AVZ (полиморфный AVZ в ответе thyrex)"сохранить логи?!

Pili, дружище,у меня 2 компа,один с которогоя пишу и второй ноутбук,который в этом плачевном состоянии

Pili, в таком режиме я вообще ничего не могу запустить,диспетчер банится моментом,вообщем ничего кроме справки я не смог открыть,проводник не могу тоже запустить сразу бан этим окном активации и все ,в норм режиме вообще ничего не работает кроме справки по принтеру( у меня принтера нету) и еще экранной клавы

Soyer888, У вас на выбор несколько вариантов:
- Freerating.exe определяют уже несколько антивирусов, вы можете проверить зараженную систему антивирусами на другом компьютере, подключив винт (как вариант - скачать свежий AVPTool).
- Самостоятельно проверить все ветки реестра автозагрузки - см. здесь
- Установить лиц. версию windows.
- Сделать и выложить логи.

итак скачал новый cureit решил им проверить,может уже добавили в базу этого вируса,значит загружаюсь я с безопасного режима с поддержкой командной строки, ибо в других вариантах выползает сразу это окошко и не дает ничего сделать,здесь оно тоже появляется но по крайней мере его можно заслонить диспетчером и прочими приложениями,но интересно то что теперь даже cureit я не могу запустить для проверки,сразу выскакивает это окно на передний план. Так вот значит пока я нахожу через "ВЫПОЛНИТЬ" - этого cureiT на диске я замечаю,что мой компьютер теперь отображается так же как и вирус,который был установлен. ЧТо это может значить?! Значит AVZ уже тоже не работает,даже через этот режим.

Цитата:

Цитата Pili Установить лиц. версию windows. »

А это причем - активация по SMS не имеет ничего общего с MS.
Soyer888, изменение значка Мой Компьютер косвенно указывает на то, что системный файл C:\WINDOWS\explorer.exe заменен вирусом, если он отображается в виде значка вируса, а не значка компьютера, это так.
Если у Вас файл C:\WINDOWS\system32\dllcache\explorer.exe имеет значок компьютера, скопируйте второй файл вместо первого. Если у него тоже значок вируса, тогда надо скопировать с диска Windows или с другого ПК.

Для чего активировать лиц. windows и скачивать утилиты? см. 1-ый пост

Котяра, спасибо,повезло,что файл по адресу еще был целый ,произвел замену и обнаружил еще один дефект файл NoExe.exe тоже заражен этим вирусом,все это я просматриваю с загрузочного диска Windows Live CD

Удалить немедленно! Это и есть вирус!
P.S. После этого могут перестать запускаться программы, но NoExe.exe необходимо удалить!

Котяра, спасибо,а то я вот и ищу его в своей рабочей системе, терь ясно,почему его нету. Так и сделаем.

спасибо всем наконец то вирус удален. но теперь как же восстановить его проделки?! ибо не один ехе файл не работает и даже восстановление нельзя сделать из-за отсутствия самого файла,что теперь можно сделать?!

Я об этом предупреждал. Сейчас напишу рецепт восстановления - не паникуйте!

Котяра, спасибо вам огромное,буду ждать, может еще посоветуете каким файрволом лучше пользоваться,буду вообще примного благодарен

Есть вариант с утилитой AVZ. Переименуйте ее в 38491.com и запустите. Выберите "Файл", "Восстановление системы". Отметьте пункт 1 и подтвердите операцию.
Либо отредактируйте реестр путем переименования regedit.exe в regedit.com.
HKEY_CLASSES_ROOT\exefile\shell\open\command
Параметр по умолчанию сменить на "%1" %*, для чего кликнуть параметр по умолчанию (в нем NoExe.exe) и ввести "%1" %*.
HKEY_CLASSES_ROOT\exefile\shell\runas\command
Тоже самое.
Если не умеете, лучше не лезьте!
Обращаю внимание, для того, чтобы сменить .exe на .com, надо в "Мой компьютер" выбрать "Сервис", "Свойства папки". Кликнуть "Вид" и снять флажок "Скрывать расширения для...".
Либо третий вариант: скачать и запустить http://slil.ru/27679877
Но не факт, что заработает.

Котяра, спасибо огромное первый вариантом воспользовался и сразу все заработало,большое спасибо за участие в моей проблеме. А вы можете посоветовать нормальный файрволл?! желательно бесплатный. Антивирусник у меня Dr WEB 5.0.

Борьба вроде к концу. :)

Пришел ответ от Dr.Web

Severny, спасибо,надо щас будет веба обновитьбудем знать теперь

Severny, так это стало работать после убийства файла NoExe.exe при том не с самой винды,а с Windows Live CD,но все равно спасибо

Severny, не спорю,но ко мне комп попал видать не в первом его состоянии,тот кто мне его дал,сказал,что да появлялся по началу стол и Вин работало,но он ничего не смог сделать и отдал мне уже в том этапе,когда ничего не работало