Текущее время: 21 сен 2017, 05:12

Часовой пояс: UTC




 Страница 2 из 3 [ Сообщений: 23 ]  На страницу Пред.  1, 2, 3  След.
Автор Сообщение
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 09:44 
Модератор
Модератор

Зарегистрирован: 21 июн 2010, 14:38
Сообщения: 336
Откуда: Воронеж
Цитата от излечившегося пользователя:
1) Главный файл вируса mssoft.exe он скрытый, и его необходимо удалить, он по адресу C:\Program Files\Common Files\Microsoft Shared
2) Изменено значение в реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
    Прокручиваем список вниз до Winlogon
    Далее видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
    нам нужен 2-ой: winlogon
    *как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
    Выбираем папку winlogon - и удаляем её (не перепутайте)
    И ещё в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Userinit был изменен, заменяем значение на C:\Windows\system32\userinit.exe,
    И ещё в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell должно быть Explorer.exe Только это... остальное удаляем.
3) Говорят ещё работает безопасный режим с поддержкой командной строки... попробуйте (при загрузке через F8 и выбираем)... может что работает... хотя бы диспетчер... а так хорошо бы дик LiveCD от Dr.Web иметь и ERD Commander... тогда бы вообще легко удалить.
Если непонятно про реестр, то смотрим здесь... + читаем эту тему... или задаём вопросы... затем выполните мои рекомендациии (смотреть в 3-м сообщении) и пришлите логи.
Удачи! Пробуйте! И обязательно напишите...


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 10:53 

Зарегистрирован: 05 июл 2010, 06:44
Сообщения: 9
Aleksio писал(а):
Цитата от излечившегося пользователя:
1) Главный файл вируса mssoft.exe он скрытый, и его необходимо удалить, он по адресу C:\Program Files\Common Files\Microsoft Shared
2) Изменено значение в реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
    Прокручиваем список вниз до Winlogon
    Далее видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
    нам нужен 2-ой: winlogon
    *как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
    Выбираем папку winlogon - и удаляем её (не перепутайте)
    И ещё в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Userinit был изменен, заменяем значение на C:\Windows\system32\userinit.exe,
    И ещё в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell должно быть Explorer.exe Только это... остальное удаляем.
3) Говорят ещё работает безопасный режим с поддержкой командной строки... попробуйте (при загрузке через F8 и выбираем)... может что работает... хотя бы диспетчер... а так хорошо бы дик LiveCD от Dr.Web иметь и ERD Commander... тогда бы вообще легко удалить.
Если непонятно про реестр, то смотрим здесь... + читаем эту тему... или задаём вопросы... затем выполните мои рекомендациии (смотреть в 3-м сообщении) и пришлите логи.
Удачи! Пробуйте! И обязательно напишите...

C:\Program Files\Common Files\Microsoft Shared перешел по етому адресу, папки winlogon нету никакой


Последний раз редактировалось Kodim 05 июл 2010, 11:00, всего редактировалось 1 раз.

Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:00 
Модератор
Модератор

Зарегистрирован: 21 июн 2010, 14:38
Сообщения: 336
Откуда: Воронеж
Это хорошо... можно удалить процесс этого вируса... какие там есть... если можно... чтоб я поглядел, какие...
Ещё можно вызвать реестр... : Файл ? Новая задача (Выполнить...) ? regedit ? Ok или Enter
вместо regedit можно попробовать ещё и explorer
Пробуйте.


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:01 

Зарегистрирован: 05 июл 2010, 06:44
Сообщения: 9
Сейчас вообще получилось вызвать рабочий стол с пуском


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:02 
Модератор
Модератор

Зарегистрирован: 21 июн 2010, 14:38
Сообщения: 336
Откуда: Воронеж
Kodim писал(а):
C:\Program Files\Common Files\Microsoft Shared перешел по этому адресу, папки winlogon нету никакой

там не winlogon (это в реестре!!!) там ищите mssoft.exe хотя может другое имя...
Просмотр скрытых и ситемных файлов... включён?


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:04 

Зарегистрирован: 05 июл 2010, 06:44
Сообщения: 9
Да включен, реестор тоже вызвать получилось


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:06 
Модератор
Модератор

Зарегистрирован: 21 июн 2010, 14:38
Сообщения: 336
Откуда: Воронеж
Kodim писал(а):
Да включен, реестор тоже вызвать получилось

Что нашли?


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:07 

Зарегистрирован: 05 июл 2010, 06:44
Сообщения: 9
Уря я нашел файл mssoft.exe я его удалил! Теперь перезагружаться?


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:09 
Модератор
Модератор

Зарегистрирован: 21 июн 2010, 14:38
Сообщения: 336
Откуда: Воронеж
а почему бы ещё просто не скачать Cureit? и им не пролечиться... и т.д. и т.п...

В реестре поищите ещё.... и очистку диска я бы сразу сделал... а так можно перезагружаться...
Можно посмотреть ещё ветки автозагрузки... (читать здесь)
затем, после после перезагрузки сделайте логи и пришлите мне на почту.


Не в сети
 Профиль  
 
 Заголовок сообщения: Re: с текстом 4956**** на номер 8353
СообщениеДобавлено: 05 июл 2010, 11:19 

Зарегистрирован: 05 июл 2010, 06:44
Сообщения: 9
Спс большое =) Сейчас буду лечиться всеми утилитами


Не в сети
 Профиль  
 
Показать сообщения за:  Поле сортировки  
 Страница 2 из 3 [ Сообщений: 23 ]  На страницу Пред.  1, 2, 3  След.

Часовой пояс: UTC



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения

Найти:
Перейти:  

cron
Рейтинг@Mail.ru Яндекс.Метрика
разблокировка баннера, удаление баннера, код разблокировки баннера, как сделать восстановление системы, коды разблокировки баннеров, удалить баннер, автозагрузка в реестре, winlock, как сделать восстановление системы