45 ответов в этой теме

[Wolond]

помагите пжл,подруга словила вирус,по картинке это Trojan.Winlock.2925 ,просит отправить на номер 9637140762 400 коды не подошли,безапасный режим с поддержкой командной страки закрываеться и начинаеться обычная загрузка виндос,при нажатии альт+ф4 картинка банера скрываеться,но диспетчер задачь неоткрыть ,так как пишет что нет прав администратора,доехать до нее не магу. можете чемнить помочь?

[Borka]

при нажатии альт+ф4 картинка банера скрываеться,но диспетчер задачь неоткрыть ,так как пишет что нет прав администратора

Win+R или Win+E работают?

[Wolond]

нечего не происходт,при открытие лупы моно открыть строку но опять выскакивает сообщене о запрете от админисратора

[Wolond]

нечего не происходт,при открытие лупы моно открыть строку но опять выскакивает сообщене о запрете от админисратора
удалось запустить браузер,но востановление системы запрощенно администратором

[mrbelyash]

нечего не происходт,при открытие лупы моно открыть строку но опять выскакивает сообщене о запрете от админисратора
удалось запустить браузер,но востановление системы запрощенно администратором

Браузер или Проводник?

[Wolond]

нажали алт+ф4,банер скрылся,потом как описанно в http://forum.drweb.com/index.php?showtopic=293348 нажатием Win+U через принтеры откылся браузер ,полуили доступ к файлам,но попытки запустить C:\WINDOWS\system32\Restore\rstrui.exe и C:\WINDOWS\regedit.exe были отказанны в доступпе ,есть ли вазможность найти вирус и удалить его? а то у нее как назло и инет не роботает в данный период вемени ,по тех причинам

[mrbelyash]

нажали алт+ф4,банер скрылся,потом как описанно в http://forum.drweb.com/index.php?showtopic=293348 нажатием Win+U через принтеры откылся браузер ,полуили доступ к файлам,но попытки запустить C:\WINDOWS\system32\Restore\rstrui.exe и C:\WINDOWS\regedit.exe были отказанны в доступпе ,есть ли вазможность найти вирус и удалить его? а то у нее как назло и инет не роботает в данный период вемени ,по тех причинам

Запустите cmd.exe

И ввести

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe

Сообщение было изменено mrbelyash: 10 Февраль 2011 - 19:19

[Wolond]

операция выполнена успешна
после перезагрузить компьютер?

[mrbelyash]

операция выполнена успешна
после перезагрузить компьютер?

Далее ввести

reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" c:\1.txt

Далее ввести

type c:\1.txt

На экране будет список ключей ..перечислите их

[Wolond]

Windows REGISTRY Editor version 5.00
[Hkey_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe /install quiet"
"NvMediaSenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMediaSenterTrai.dII,NvTaskbarInit"

"NvCpIDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvcpI.dII,NvStartup"
"USB ANTIVIRUS"="C\\Program Files\\USB Dask Security\\USBJuard.exe"
"NeroFilterChec"="C:\\WINDOWS\\system32\\NeroChec.exe"
"WinampAgent"="\"C:\\Program Files\\Winamp\\winampa.exe\""
"MAgemt"="C:\\Program Files\\Mail.ru\\Agent\\Magent.exe -LM"
"Guard.Mail.ru.gui"="\"C:\\Program Files\\Mail.Ru\\Guard\\GuardMailRu.exe\" /gui"
"VKSaverUpdater"="C:\\Program Files\\VKSaver\\VKSaverUpdater.exe"
"HP Software Update"="C:\\Prodram Files\\HP\\HP Software Update\\HPWuSchd2.exe"@=""


Windows REGISTRY Editor version 5.00
[Hkey_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe /install quiet"
"NvMediaSenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMediaSenterTrai.dII,NvTaskbarInit"

"NvCpIDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvcpI.dII,NvStartup"
"USB ANTIVIRUS"="C\\Program Files\\USB Dask Security\\USBJuard.exe"
"NeroFilterChec"="C:\\WINDOWS\\system32\\NeroChec.exe"
"WinampAgent"="\"C:\\Program Files\\Winamp\\winampa.exe\""
"MAgemt"="C:\\Program Files\\Mail.ru\\Agent\\Magent.exe -LM"
"Guard.Mail.ru.gui"="\"C:\\Program Files\\Mail.Ru\\Guard\\GuardMailRu.exe\" /gui"
"VKSaverUpdater"="C:\\Program Files\\VKSaver\\VKSaverUpdater.exe"
"HP Software Update"="C:\\Prodram Files\\HP\\HP Software Update\\HPWuSchd2.exe"@=""

[mrbelyash]

Перезагружайтесь

[mrbelyash]

КаГ дила?

[mrbelyash]

ее комп временно умер(

В смысле?

[Borka]

"NeroFilterChec"="C:\\WINDOWS\\system32\\NeroChec.exe"

А не суслик ли это? Честный НероЧек запускается из
C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
или
C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

[Wolond]

нет,непомагло,банер остался

[Borka]

нет,непомагло,банер остался

Тогда вот он: C:\WINDOWS\system32\NeroChec.exe

[Wolond]

удалили C:\WINDOWS\system32\NeroChec.exe банер остался

[Borka]

удалили C:\WINDOWS\system32\NeroChec.exe банер остался

Точно удалили? Файл не вернулся? Ссылку в реестре тоже убили?
Скачайте Autoruns, запустите, сохраните отчет и приложите сюда.

Либо просто запустите отсюда: http://live.sysinternals.com/autoruns.exe

Сообщение было изменено Borka: 10 Февраль 2011 - 22:47
добавлено

[Wolond]

удалили C:\WINDOWS\system32\NeroChec.exe банер остался

Точно удалили? Файл не вернулся? Ссылку в реестре тоже убили?
Скачайте Autoruns, запустите, сохраните отчет и приложите сюда.

Либо просто запустите отсюда: http://live.sysinternals.com/autoruns.exe

к сожелению нет доступа к интернету и нет возможности приехать и принести файл


при открытие C:\WINDOWS\regedit.exe запрещено редактирование администратором

[Borka]

удалили C:\WINDOWS\system32\NeroChec.exe банер остался

Точно удалили? Файл не вернулся? Ссылку в реестре тоже убили?
Скачайте Autoruns, запустите, сохраните отчет и приложите сюда.
Либо просто запустите отсюда: http://live.sysinternals.com/autoruns.exe

к сожелению нет доступа к интернету и нет возможности приехать и принести файл

А как тогда был получен экспорт реестра?