Четверг, 28 Марта 2024, 17:42

Ремонт компьютеров в Лыткарино т.8-916-670-83-49

Поиск
Друзья сайта
Статистика
География посетителей
Меню сайта
Оформить заявку на вызов мастера на дом
Облако меток
Как разобрать ноутбук TOSHIBA SATELLITE ?
Новости Темы
Компьютерные новости [16]
Компьютерная помощь, литература, софт
Все о Windows [9]
Секреты Виндовс, недокументируемые и скрытые возможности MS Windows
Антивирусное ПО [1]
Антивирусы, фаерволы, онлайн сканеры вредоносного программного обеспечения.
В Контакте [4]
Всё что связано с социальной сетью Вконтакте.ру
Joomla секреты и советы [2]
Полезные советы по настройке и программированию для Jooml'ы
Заработок в интернете [2]
Миф или реальность?
Игры он лайн, flash-игры [3]
Флэш игры он-лайн
Календарь новостей
«  Сентябрь 2010  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
27282930
Мини Чат
Главная » 2010 » Сентябрь » 4 » Пополнить счет абонента БИЛАЙН - новая модификация вируса вымогателя
Пополнить счет абонента БИЛАЙН - новая модификация вируса вымогателя
18:58

Как удалить вирус который просит пополнить счет абонента Билайн.
Этот вирус работает по несколько иной схеме, чем предыдущие, а именно он подменяет параметр Explorer.exe собой в реестре и не дает абсолютно ничего сделать.

Для лечения нужно загрузится с LiveCD (WPE) - диск, с которого загружается операционная система Windows XP, не используя жесткий диск компьютера.

Для отключения автозапуска вируса необходимо изменить в реестре зараженной машины значение Shell в котором указан путь к местонахождению тела вируса на значение Explorer.exe, после этого удалить вирус.

Для этого редактируем удаленный реестр (зараженной машины).

Загрузившись с LiveCD мы видим рабочий стол.
Пуск –> Выполнить –> RegEdit

Ставим курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.

Загружаем куст реестра.

Выбираем файл реестра software, который лежит в папке Windows на нерабочем компьютере, а именно по пути:

C:\Windows\system32\config\software

Вводим любое название куста (для себя, чтоб отличить от других кустов)

В редакторе реестра добавляется еще одна ветка, в ней идем по пути

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Там прописан путь к файлу вируса,что-то типа xxx_video_721(1).avi.exe, который хранится во временных файлах Internet Explorer'a:
C:\Documents and Settings\Имя_пользователя\Local Settings\Temporary Internet Files\Content.IE5\RB21A3RQ\video_57312.avi[1].exe
Имя временной папки естественно будет отличаться от RB21A3RQ так как оно создаётся случайным образом, имя заражённого файла тоже (например xxx_video_721(1).avi.exe), имя файла вируса узнаём из значения Shell, далее через поиск,указав в параметрах "поиск в скрытых и системных файлах" ищем вирус, обычно находит ещё одну копию в папке винды.

В реестре заменяем значение параметра Shell на Explorer.exe

Ветка реестра которую правим.

Далее обязательно жмем Файл – Выгрузить Куст !!!

После этого перезагружаем компьютер, все должно быть нормально, кроме блокированного диспетчера задач.

Если запуск Редактора реестра не заблокирован (что после этой вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).

Категория: Компьютерные новости | Просмотров: 26203 | Добавил: Admin | Рейтинг: 5.0/2 |
Всего комментариев: 9
9 bhyptm  
0
ablaczyv

8 hermes handbags  
0
http://vipreplicaw.com/#3599 replica watches cape town

7 MaryTenderLOS  
0
They are colorful and with all those things that move, they can keep a baby entertained for hours. Because of this you may think buying a girl a doll is easy, think again there are now so many different makes and model of dolls that do different things. By providing young children with the appropriate sort of kids toys during their development stage, you will be ensuring that they are able to develop their motor skills, cognitive abilities, problem solving skills, and creative skills.

6 soscocretrief  
0
Чем быть недовольным тем, что дали, лучше крепче держи!

5 Александр  
0
Есть вопросы? Пишите на моём сайте http://vru-clan-nkvd.ucoz.ru/

4 Александр  
0
В первую очередь запоминаем — никаких СМС никогда, никуда не отправлять и никому счет не пополнять. Это развод неопытных юзеров.Даже если отправите, в ответ вам ничего не придет и вирус не удалится.Есть верный и проверенный способ удалить любой баннер Блокирующий винду,
В случае, если ваш компьютер оказался заражен, а код, полученный через сервис деактивации вымогателей-блокеров, не подошел, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.
Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.
В безопасном режиме загружаются:
- минимальный (базовый) набор драйверов;
- стандартные системные службы.
Как разблокировать систему?
Чтобы разблокировать систему, выполните следующие действия:
Шаг 1. перезагрузите компьютер в Безопасном режиме:
- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.
- Нажмите кнопку F8 до того, как появится логотип Windows.
- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).
- Нажмите клавишу Enter на клавиатуре.
- В списке операционных систем выберите систему, в которую требуется выполнить вход.
- Нажмите клавишу Enter на клавиатуре.
- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

Что делать, если компьютер загружается только в обычном режиме?

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.
Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.
В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).
Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)
Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.
Шаг 6. Нажмите на кнопку ОК .

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .
Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).
Шаг 10. Закройте окно Изменение строкового параметра.
Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .
Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.
Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .
Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да .

Шаг 16. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.
Шаг 17. Нажмите клавишу Enter на клавиатуре.

Шаг 18. Перезагрузите компьютер в обычном режиме.
Go to the top of the page

P.S
Если у Вас Windows7,В окне Редактор реестра найдите ключ реестра Shell по следующему пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Обломим долбаных вымогателей!!!!


3 Антон Павлович  
0
Спасибо большое, помогло. Я только без диска обошелся. Можно зайти в безоп режиме с поддержкой командной строки. от туда заходишь в редактор реестра, переписываешь нужную строчку и все ОК.

2 Андрей  
0
не могу загрузить диск банер не дает вообще ни чего сделать ((((( помогите по шагово

1 Pasha  
0
спасибо большое

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]