Проблема

[mil]

НА компьютере сегодня появилась непонятная чтука, в общем вот она:


не дает запускать *.exe, блокирует диспетчера задач и список служб
помню на форуме от подобной фигни избавлялись, только не могу найти тему
не дает запускаться антивирю (НОД 32)
Dr.Web CureIt! - не запускается тоже


как победить заразу?

[sagatovsky]

Ты подхватил Trojan.Winlock
Вот один из вариантов решения:
Как удалить вирус вручную

Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd>.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;

– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;

– закройте окно ERD Commander Registry Editor;

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме;

– проверьте систему антивирусом со свежими базами.

От себя добавлю, сталкивался с этой заразой, в первый раз помогло тупо отчистка TEMP в папочке юзера, но это еще в декабре было, сейчас новые версии вируса и так просто от него не избавиться.

ну и канешн /block_porn

[mil]

спасибо, попробую

[ROBOCOP]

нафиг!

жми шифт до залипания (8 сек.)
заходи в пуск и постарайся найти восстановление системы, востанови точку до дня заражения перетаскивая окно в открытое пространство! и всё чикипики

а тебе ещё повезло что баннер без девочек

[MaSe]

еще вариант: скачать iso-образ Dr.Web LiveCD, зарезать его на болванку. Потом загрузиться с этого диска и выполнить чистку ПК.

брать отсюда

[Йожыг]

фик знат, можт у меня руки кривые, но вышепоказанные варианты не прокатили. особенно разочаровал дохтур - ничё не заметил.
прокатило так - рыскаешь в нете на код разблокировки для данного конкретного кода доступа. (этот код зависит от даты. то есть меняя в биосе сис.дату, подгоняеи мод известные код-код разблокировки).
после разблокивания - напускаем малваре-антималварю, она ловит и изолирует влёт.

[mil]

точки восстановления я не сохроняю
помог кстати ДрВеб LiveCD, спасибо mase, но сделал это чуть раньше чем ты написал
вопщем проблема решена

по пронам не лазил, даже не догадываюсь откуда подцепил... 2 комп (на котором зараза была) юзается онли для скачки с торрентов

[AlexS]

а можно еще код ввести)
3093, 3092 или 3097, вроде еще варианты есть
окошко исчезнет и даст завалить эту пакость
и тогда уже прогнать куреитом))

[ROBOCOP]

жми шифт до залипания (8 сек.)
заходи в пуск и постарайся найти восстановление системы, востанови точку до дня заражения перетаскивая окно в открытое пространство! и всё чикипики

хотя...
вчера удалял баннер с жёсткими девочками
востановление в системе было отключено (( ,
но повезло что стоял свежий каспер! ))
удалось включить полную проверку и он сам всё почикал, перезагрузился и друг спасён

[Йожыг]

в онгелисе баннеры с бабъём в дополнения/расширения лезут.
огнелис тож видать дыроват, хоть с е и не ровня.

[Мясник]

Вот тута можа посмотреть http://www.drweb.com/unlocker/index/?lng=ru

[-=Joker Laursky=-]

и ещё совет: когда у вас появица моск, то подумайте им о безопасности

[PHP&MySQL]

Тебе в помощь: http://esetnod32.ru/support/winlock.php , http://www.drweb.com/unlocker/index/?lng=ru , http://support.kaspersky.ru/viruses/deblocker. (Ищи по номеру и тесту sms, если такого же текста не будет, ищи подобные, были случаи что ключи подходили)

Кстати, вариант sagatovsky рабочий, но не для всех "winlock".
Глянь еще корень диска с:, если встретится какойнибуть подозрительный файл (не относящийся к операционке) удали его.
Очисти папки Temp:
c:\temp\
c:\windows\temp\
C:\WINDOWS\pchealth\helpctr\Temp\
C:\WINDOWS\system32\inetsrv\%TempDir%\

Еще очисти папки темп у каждого пользователя системы
C:\Documents and Settings\Имя учетки\Local Settings\Temp\

а потом и в реестр (regedit): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; ... дальше все как написано у sagatovsky...

Кстати все это делается виндой с какогонибуть загрузочного диска, например Zver, там всегда есть все что нужно.

Поповоду запретов на .exe, диспетчера задач, и еще чегонибуть, могу скинуть на мыло свои рег файлы для востановления.

[Angry]

и ещё совет: когда у вас появица моск, то подумайте им о безопасности

а шо такое моск? где его купить, скачать, сколько весит?

[Unknown_player]

Лучше просто форматни винт:)ПОтом раздели винт на диск С и D и не парься:) У меня такая же была проблема но поставил себе Avira Premium Security Suite и всё норма стало!
К твоему сведению если не хочешь форматировать винт и не хочешь потерять данные на нём не парься есть програ Ontrack EasyRecovery Professional она востанавливает файлы хоть на винте или на носителе...Я не парюсь:)
Удачи парень или девушка:)