Не могу избавиться от вируса, который требует отправить СМС

08.04.2009, 09:43. **Показов** 218390. **Ответов** 136

Студворк — интернет-сервис помощи студентам

Помогите справиться с вирусов... Он заблокировал вход в операционную систему и просит отправить смс с №41110579646 на номер 3649, как ото него избавиться ума не приложу помогите очень нужно

@Amator · 08.04.2009, 10:38

Включаеш комп, после загрузки биоса нажимаешь F8 пробуешь зайти в безопасном режиме и чистишся.

@Rich · 08.04.2009, 10:38

Может просто взять жесткий диск и проверить его антивирусом на другом компе.

@inter-admin · 08.04.2009, 13:55

А можно сделать диск с ERD и профиксить реестр системы.Тема с лечением есть тут на форуме.

09.04.2009, 09:55

Очень жесткая штука надо заметить. Вчера с соседом пытались избавиться от этой хухни - через безопасный режим не загрузиться, попробовал Alkid live CD с несколькими антивирями (базы за конец марта). На диске были Касперский, Троян ремувер, Доктор Веб, Hijack this, еще несколько... Прогон Каспером обнаружил 1 вирус и 5 троянов, другие после каспера не смогли найти ничего. Но заставка с требованием отправить смс как была, так и осталась.
Пока сошлись на том, что сегодня приду к соседу, перекину всю важную инфу с диска С:\ через live CD и переустановлю Винду

@unick12345 · 09.04.2009, 11:37

посмотри ветвь реестра HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon через LiveCD. Это настройка сообщений и экрана приветствия Windows. Может там найдешь чтото не нужное. Тоже самое делает и Microsoft со своим контролем на лицензионную винду (WGALogOn).

@Amator · 09.04.2009, 11:45

Просто заставка вьелась в систему, а поскольку процесс показивания "картинок" безопасен, то анти-вирь не соображает что это вирусня. Он удаляет родитель этого процесса, а картинка остается в системе.

@Алексей_VI · 09.04.2009, 12:03

Cкачайте Dr.Web LiveCD, загрузитесь с него, обнвоите базы и сделайте полную проверку.
так же можете загрузиться с виндовского LiveCD и посмотреть реестер больной системы. Параметр Userinit должен быть такой

Code
1
C:\WINDOWS\system32\userinit.exe[B][size=4][COLOR="Red"],[/COLOR][/size][/B] (с запятой)

и за ним ничего не должно быть. Если это тот зверь, а котором я думаю, то после должно быть что-то

В обычном виде этот параметр лежит в

Code
1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Но с правкой реестра будьте аккуртны.

11.04.2009, 16:10

УРРРРааааааа!!!! Получилось!!

Как я действовал: Прогон антивирусами через live cd не помог. Поиск userinit.exe в нестандартных папках ничего не дал. Тогда я просмотрел реестр с помощью ERD сравнивая реестр на диске C:\ и установочном сиди.
Оказалось что в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon]:

C:\WINDOWS\system32\userinit.exe, ничего не было после запятой.
Зато в параметре Shell вместо стандартной explorer.exe была какая-то хрень из папки temp. Я поменял значение на стандартное и все запустилось.

Спасибо всем, в особенности unick12345 и Алексей_VI за неоценимую помощь

@12zzz · 14.04.2009, 17:51

Сообщение от Erhater

УРРРРааааааа!!!! Получилось!!

Как я действовал: Прогон антивирусами через live cd не помог. Поиск userinit.exe в нестандартных папках ничего не дал. Тогда я просмотрел реестр с помощью ERD сравнивая реестр на диске C:\ и установочном сиди.
Оказалось что в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon]:

C:\WINDOWS\system32\userinit.exe, ничего не было после запятой.
Зато в параметре Shell вместо стандартной explorer.exe была какая-то хрень из папки temp. Я поменял значение на стандартное и все запустилось.

Спасибо всем, в особенности unick12345 и Алексей_VI за неоценимую помощь

мда вы не 1 такой =) причём заметьте вирус распространяется и мы заразились почти 1 числа ) но я бы хотел узнать что делать??? можо поподробнее плз. У меня на компе виста и хп, хп заражена. Так вот можо ли открыть реестр с висты и измеить параметры хп?? когда я открываю [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon] то там AutoLogonChecked и GPExtensions и Notify . Или это реестр висты? Открыл реестр с помощью regedit.exe. Выложте так же папку windows (не всю конечно) где изменены параметры на стандартные ( Так не легче помоч людям нежели обьяснять им что делать? ).
p.s. сори за кривой русский )

@inter-admin · 14.04.2009, 17:54

Сообщение от 12zzz

мда вы не 1 такой =) причём заметьте вирус распространяется и мы заразились почти 1 числа ) но я бы хотел узнать что делать??? можо поподробнее плз. У меня на компе виста и хп, хп заражена. Так вот можо ли открыть реестр с висты и измеить параметры хп?? когда я открываю [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon] то там AutoLogonChecked и GPExtensions и Notify . Или это реестр висты? Открыл реестр с помощью regedit.exe

Это реестр Висты, не стоит из Висты подключать реестр XP, гораздо лучше сделать это в безопасном режиме XP или загрузившись с диска ERD и подключив XP к интерфейсу ERD.
https://www.cyberforum.ru/down... file&id=91 тут можно взять диск с хорошим конфигом ERD да и вообще с полезными фишками.

@Phantom · 14.04.2009, 17:55

Не по теме:

Отправь смс №41110579646 на номер 3649 и спаси любимого участника "дома-2" :D

На самом деле в большинстве случаев этот вирус (Trojan.Winlock) удаляется сам через пару часов. Если не хочется ждать, то прочитайте этот и соседний топик, авторы постов весьма подробно всё написали, за что им спасибо.

@12zzz · 14.04.2009, 18:19

Он избегается таким спсобом: загрузкой видоус с последей рабочей конфигурацией f8 при загрузке виндоус там же где и безомасный режим. Как я понял чтобы завершить работу Windows с клянчющей смс мы все нажимаем кнопку ресет на системном блоке и поэтому видоус завершается с ошибкой. Поэтому запуск со старыми параметрами запускает винду до вируса. Я прав господа?

Добавлено через 4 минуты 48 секунд
сейчас в shelle-explorer и в userinit после запятой ничего нет, как и должно быть. Вирус убился

@PB · 14.04.2009, 20:56

Я так понимаю что этот вирь создаёт окно, в котором просит отправить SMSку.
Можно попробовать использовать программу Prioritet, которую можно найти здесь https://www.cyberforum.ru/secu... 26944.html
Там написанно как пользоватся.
Хоть программа задумана совсем для других целей, но как оказалось с её помощью можно успешно удалять некоторые вирусы создающие pop-up окно на рабочем столе.
Поскольку когда вирус просит отправить SMS он создаёт окно, то можно попробовать использовать тот-же приём - вычислить путь к вирусу по его окну.
Ну а дальше останется только завершить его процесс в памяти и удалить вручную вирус.

@inter-admin · 14.04.2009, 21:00

https://www.cyberforum.ru/all-... 30043.html

@12zzz · 14.04.2009, 21:15

нет программу не запустиш, вернее запустиш но не увидишь т.к. вирус просто закрывает экран своей картикой, но ничего не блокирует. А в этой теме https://www.cyberforum.ru/secu... 26944.html человек может запустить прогу.

@Vadimz · 15.04.2009, 15:04

Вот ссылочка:
http://news.drweb.com/show/?i=304&c=5
Там лекарство от Dr. Web.
Описание:
http://talks.mark-itt.ru/forum... 31155.html

@12zzz · 15.04.2009, 16:44

Убейтесь все. Если у вас этот вирус то вы не запустите НИКАКУЮ программу, а вернее как я писал выше вы её запустите но увидеть её не сможете!!!! спс доктор веб, конечно у всех стоит 2+ операционки на компе специально чтобы посмотреть код активации.

Добавлено через 2 минуты 1 секунду
Или вы предлагаете сгонять к другу на другом коце города чтобы скачать прогу от др.веб и записать код? Не смешите, Через 2 часа вирус сам удаляется если верить источнику.

@Vadimz · 15.04.2009, 17:15

Сообщение от 12zzz

спс доктор веб, конечно у всех стоит 2+ операционки на компе специально чтобы посмотреть код активации.

Уважаемый, а Вы по ссылке прошли?
Там программу-то качать не надо.
Если человек в состоянии узнать о решении проблемы на этом сайте, то ему не составит особого труда получить ключ на сайте Др. Веба.

@Алексей_VI · 15.04.2009, 19:25

Vadimz, уважаемый просто считает себя самым умным

. Но вот почему он предлагает нам убиться... Я не понимаю

Сообщение от 12zzz

Или вы предлагаете сгонять к другу на другом коце города чтобы скачать прогу от др.веб и записать код?

Уважаемый, не у всех находятся на другом конце города. У некоторых они расположены гораздо ближе...

Новые блоги и статьи Все статьи Все блоги /
сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и источниками (напряжения, ЭДС и тока). Найти токи и напряжения во всех элементах. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и. . .

Ярослав 81

	Не могу избавиться от вируса, который требует отправить СМС 08.04.2009, 09:43. Показов 218390. Ответов 136 Метки нет (Все метки) Помогите справиться с вирусов... Он заблокировал вход в операционную систему и просит отправить смс с №41110579646 на номер 3649, как ото него избавиться ума не приложу помогите очень нужно

@Amator 1047 / 381 / 15 Регистрация: 11.11.2008 Сообщений: 3,155
	08.04.2009, 10:38
	Включаеш комп, после загрузки биоса нажимаешь F8 пробуешь зайти в безопасном режиме и чистишся. 0

@Rich 12 / 12 / 4 Регистрация: 16.03.2007 Сообщений: 109
	08.04.2009, 10:38
	Может просто взять жесткий диск и проверить его антивирусом на другом компе. 0

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	08.04.2009, 13:55
	А можно сделать диск с ERD и профиксить реестр системы.Тема с лечением есть тут на форуме. 0

Erhater
	09.04.2009, 09:55
	Очень жесткая штука надо заметить. Вчера с соседом пытались избавиться от этой хухни - через безопасный режим не загрузиться, попробовал Alkid live CD с несколькими антивирями (базы за конец марта). На диске были Касперский, Троян ремувер, Доктор Веб, Hijack this, еще несколько... Прогон Каспером обнаружил 1 вирус и 5 троянов, другие после каспера не смогли найти ничего. Но заставка с требованием отправить смс как была, так и осталась. Пока сошлись на том, что сегодня приду к соседу, перекину всю важную инфу с диска С:\ через live CD и переустановлю Винду

@unick12345 1866 / 1186 / 192 Регистрация: 27.03.2009 Сообщений: 4,603
	09.04.2009, 11:37
	посмотри ветвь реестра HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon через LiveCD. Это настройка сообщений и экрана приветствия Windows. Может там найдешь чтото не нужное. Тоже самое делает и Microsoft со своим контролем на лицензионную винду (WGALogOn). 1

@Amator 1047 / 381 / 15 Регистрация: 11.11.2008 Сообщений: 3,155
	09.04.2009, 11:45
	Просто заставка вьелась в систему, а поскольку процесс показивания "картинок" безопасен, то анти-вирь не соображает что это вирусня. Он удаляет родитель этого процесса, а картинка остается в системе. 0

Erhater
	11.04.2009, 16:10
	УРРРРааааааа!!!! Получилось!! Как я действовал: Прогон антивирусами через live cd не помог. Поиск userinit.exe в нестандартных папках ничего не дал. Тогда я просмотрел реестр с помощью ERD сравнивая реестр на диске C:\ и установочном сиди. Оказалось что в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon]: C:\WINDOWS\system32\userinit.exe, ничего не было после запятой. Зато в параметре Shell вместо стандартной explorer.exe была какая-то хрень из папки temp. Я поменял значение на стандартное и все запустилось. Спасибо всем, в особенности unick12345 и Алексей_VI за неоценимую помощь

@Phantom 3189 / 869 / 39 Регистрация: 29.12.2008 Сообщений: 951
	14.04.2009, 17:55
	Не по теме: Отправь смс №41110579646 на номер 3649 и спаси любимого участника "дома-2" :D На самом деле в большинстве случаев этот вирус (Trojan.Winlock) удаляется сам через пару часов. Если не хочется ждать, то прочитайте этот и соседний топик, авторы постов весьма подробно всё написали, за что им спасибо. 0

@12zzz 14 / 14 / 2 Регистрация: 14.04.2009 Сообщений: 66
	14.04.2009, 18:19
	Он избегается таким спсобом: загрузкой видоус с последей рабочей конфигурацией f8 при загрузке виндоус там же где и безомасный режим. Как я понял чтобы завершить работу Windows с клянчющей смс мы все нажимаем кнопку ресет на системном блоке и поэтому видоус завершается с ошибкой. Поэтому запуск со старыми параметрами запускает винду до вируса. Я прав господа? Добавлено через 4 минуты 48 секунд сейчас в shelle-explorer и в userinit после запятой ничего нет, как и должно быть. Вирус убился 0

@PB Просто прогер 1292 / 1079 / 13 Регистрация: 13.03.2009 Сообщений: 2,502
	14.04.2009, 20:56
	Я так понимаю что этот вирь создаёт окно, в котором просит отправить SMSку. Можно попробовать использовать программу Prioritet, которую можно найти здесь https://www.cyberforum.ru/secu... 26944.html Там написанно как пользоватся. Хоть программа задумана совсем для других целей, но как оказалось с её помощью можно успешно удалять некоторые вирусы создающие pop-up окно на рабочем столе. Поскольку когда вирус просит отправить SMS он создаёт окно, то можно попробовать использовать тот-же приём - вычислить путь к вирусу по его окну. Ну а дальше останется только завершить его процесс в памяти и удалить вручную вирус. 0

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	14.04.2009, 21:00
	https://www.cyberforum.ru/all-... 30043.html 0

@12zzz 14 / 14 / 2 Регистрация: 14.04.2009 Сообщений: 66
	14.04.2009, 21:15
	нет программу не запустиш, вернее запустиш но не увидишь т.к. вирус просто закрывает экран своей картикой, но ничего не блокирует. А в этой теме https://www.cyberforum.ru/secu... 26944.html человек может запустить прогу. 0

@Vadimz Куплю статус. Не б/у. 36 / 26 / 1 Регистрация: 26.08.2008 Сообщений: 339
	15.04.2009, 15:04
	Вот ссылочка: http://news.drweb.com/show/?i=304&c=5 Там лекарство от Dr. Web. Описание: http://talks.mark-itt.ru/forum... 31155.html 0

@12zzz 14 / 14 / 2 Регистрация: 14.04.2009 Сообщений: 66
	15.04.2009, 16:44
	Убейтесь все. Если у вас этот вирус то вы не запустите НИКАКУЮ программу, а вернее как я писал выше вы её запустите но увидеть её не сможете!!!! спс доктор веб, конечно у всех стоит 2+ операционки на компе специально чтобы посмотреть код активации. Добавлено через 2 минуты 1 секунду Или вы предлагаете сгонять к другу на другом коце города чтобы скачать прогу от др.веб и записать код? Не смешите, Через 2 часа вирус сам удаляется если верить источнику. 0

Не могу избавиться от вируса, который требует отправить СМС

Решение