Quote (ah3847138471)
Уважаемый модератор!помогите требует отпраавки сообщения на тел 89629911861 без текста весь инет перерыл нет ничего каспер и доктор не справились комп заблокирован безопасный не работает.что делать? заранее спс
Вирус просит пополнить счет абонента Билайн.
Этот вирус работает по несколько иной схеме, чем предыдущие, а именно он подменяет параметр Explorer.exe собой в реестре и не дает абсолютно ничего сделать.
Для лечения нужно загрузится с LiveCD (WPE) - диск, с которого загружается операционная система Windows XP, не используя жесткий диск компьютера.
Для отключения автозапуска вируса необходимо изменить в реестре зараженной машины значение Shell в котором указан путь к местонахождению тела вируса на значение Explorer.exe, после этого удалить вирус.
Для этого редактируем уделенный реестр (зараженной машины).
Загрузившись с LiveCD мы видим рабочий стол.
Пуск –> Выполнить –> RegEdit
Ставим курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.
Загружаем куст реестра
Выбираем файл реестра software, который лежит в папке Windows на нерабочем компьютере, а именно по пути:
C:\Windows\system32\config\software
Вводим любое название куста (для себя, чтоб отличить от других кустов)
В редакторе реестра добавляется еще одна ветка, в ней идем по пути
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Там прописан путь к файлу вируса,что-то типа xxx_video_721(1).avi.exe, который хранится во временных файлах Internet Explorer'a:
C:\Documents and Settings\Имя_пользователя\Local Settings\Temporary Internet Files\Content.IE5\RB21A3RQ\video_57312.avi[1].exe
Имя временной папки естественно будет отличаться от RB21A3RQ так как оно создаётся случайным образом, имя заражённого файла тоже (например xxx_video_721(1).avi.exe), имя файла вируса узнаём из значения Shell, далее через поиск,указав в параметрах "поиск в скрытых и системных файлах" ищем вирус, обычно находит ещё одну копию в папке винды.
В реестре заменяем значение параметра Shell на Explorer.exe
Ветка реестра которую правим.
Далее обязательно жмем Файл – Выгрузить Куст !!!
После этого перезагружаем компьютер, все должно быть нормально, кроме блокированного диспетчера задач.
Если запуск Редактора реестра не заблокирован (что после этой вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).
