Не могу избавиться от вируса, который требует отправить СМС

Ярослав 81

Помогите справиться с вирусов... Он заблокировал вход в операционную систему и просит отправить смс с №41110579646 на номер 3649, как ото него избавиться ума не приложу помогите очень нужно

Amator

Включаеш комп, после загрузки биоса нажимаешь F8 пробуешь зайти в безопасном режиме и чистишся.

Rich

Может просто взять жесткий диск и проверить его антивирусом на другом компе.

inter

А можно сделать диск с ERD и профиксить реестр системы.Тема с лечением есть тут на форуме.

Erhater

Очень жесткая штука надо заметить. Вчера с соседом пытались избавиться от этой хухни - через безопасный режим не загрузиться, попробовал Alkid live CD с несколькими антивирями (базы за конец марта). На диске были Касперский, Троян ремувер, Доктор Веб, Hijack this, еще несколько... Прогон Каспером обнаружил 1 вирус и 5 троянов, другие после каспера не смогли найти ничего. Но заставка с требованием отправить смс как была, так и осталась.
Пока сошлись на том, что сегодня приду к соседу, перекину всю важную инфу с диска С:\ через live CD и переустановлю Винду

unick12345

посмотри ветвь реестра HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon через LiveCD. Это настройка сообщений и экрана приветствия Windows. Может там найдешь чтото не нужное. Тоже самое делает и Microsoft со своим контролем на лицензионную винду (WGALogOn).

Amator

Просто заставка вьелась в систему, а поскольку процесс показивания "картинок" безопасен, то анти-вирь не соображает что это вирусня. Он удаляет родитель этого процесса, а картинка остается в системе.

Алексей_VI

Cкачайте Dr.Web LiveCD, загрузитесь с него, обнвоите базы и сделайте полную проверку.
так же можете загрузиться с виндовского LiveCD и посмотреть реестер больной системы. Параметр Userinit должен быть такой

Код Code
1 C:\WINDOWS\system32\userinit.exe[B][size=4][COLOR="Red"],[/COLOR][/size][/B] (с запятой)

и за ним ничего не должно быть. Если это тот зверь, а котором я думаю, то после должно быть что-то В обычном виде этот параметр лежит в

Код Code
1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Но с правкой реестра будьте аккуртны.

Erhater

УРРРРааааааа!!!! Получилось!!

Как я действовал: Прогон антивирусами через live cd не помог. Поиск userinit.exe в нестандартных папках ничего не дал. Тогда я просмотрел реестр с помощью ERD сравнивая реестр на диске C:\ и установочном сиди.
Оказалось что в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]:

C:\WINDOWS\system32\userinit.exe, ничего не было после запятой.
Зато в параметре Shell вместо стандартной explorer.exe была какая-то хрень из папки temp. Я поменял значение на стандартное и все запустилось.

Спасибо всем, в особенности unick12345 и Алексей_VI за неоценимую помощь

12zzz

мда вы не 1 такой =) причём заметьте вирус распространяется и мы заразились почти 1 числа ) но я бы хотел узнать что делать??? можо поподробнее плз. У меня на компе виста и хп, хп заражена. Так вот можо ли открыть реестр с висты и измеить параметры хп?? когда я открываю [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] то там AutoLogonChecked и GPExtensions и Notify . Или это реестр висты? Открыл реестр с помощью regedit.exe. Выложте так же папку windows (не всю конечно) где изменены параметры на стандартные ( Так не легче помоч людям нежели обьяснять им что делать? ).
p.s. сори за кривой русский )