Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Помогите, подцепил вирус!!!!

1
RSS
 
Виталий Бура
Виталий Бура
Пользователь
Сообщений: 1
Регистрация: 15.05.2010
Размещено 16.05.2010 10:20:08
Здравствуйте. Помогите пожалуйста, дело в том, что моим компом овладел вирус, при загрузке выскакивает окошко с содержанием порно эффектов, и написано, что (ошибка windows) просят прислать sms с кодом g4590345h56 на номер 4161. Все мои попытки отыскать код разблокировки пришли к нулю. Искал этот код и на сайте nod32, и на касперском, и на drveb, и на других, но что-то ни один не подходит. Помогите чем сможете. В безопасном режиме загружается, но к интернету не подключается, выдает ошибку 711.
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 16.05.2010 10:34:10
Служба наверняка прописана в реестре через автозапуск. Если нет программ которые сканируют список автозагрузки, напиши адрес почты, я пришлю соответствующую программу, или сам можешь скачать.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 11:05:50
В безопасном режиме можете сделать логи с помощью программ: Hijackthis и SysInspector?
Скачать из инет отсюда:
http://www.hijackthis.de/downloads/HJTInstall.exe
http://download.eset.com/download/sysinspector/32/RUS/SysInspector.exe
===
Если работает в безопасном режиме regedit.exe, проверьте запись в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit в тексте должно быть: C:\WINDOWS\system32\userinit.exe,
и ничего лишнего.
так же проверить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Shell, там должно быть значение "explorer.exe"
Изменено: santy - 16.05.2010 11:18:00
[ Как создать образ автозапуска? ]
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 16.05.2010 11:50:29
не знаю, не знаю santy - когда удален userinit то комп ни в безопасном, ни в обычном не загружается. Система грузится до появления выбора списка пользователей, при попытке зайти, система буквально через секунду переходит опять в окно выбора пользователя.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 12:15:41
ORION, где вы увидели рекомендацию удалить userinit?
===
Если работает в безопасном режиме regedit.exe, проверьте запись в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit в тексте должно быть: C:\WINDOWS\system32\userinit.exe,
и ничего лишнего.
===
т.е.
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[ Как создать образ автозапуска? ]
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 16.05.2010 17:43:33
Внимательно перечитайте то, что я написал. Там никаких рекомендаций удалять данный файл нет. Я лишь говорю, что если удален этот файл, то комп не будет работать ни в безопасном, ни в обычном режиме.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 18:45:29
ORION, без обид, но я в разделе "обнаружение вредоносного кода" внимательно читаю только симптомы заражения, человека, который открыл тему, и логи программ, с помощью которых выполняется диагностика и лечение. В симптомах ничего не говорится про удаление userinit, тем более, что безопасный режим работает. Ждем логи.
Изменено: santy - 16.05.2010 18:51:00
[ Как создать образ автозапуска? ]
 
Дмтрий
Дмтрий
Пользователь
Сообщений: 1
Регистрация: 03.06.2010
Размещено 03.06.2010 08:02:56
Цитата
Виталий Бура пишет:
Здравствуйте. Помогите пожалуйста, дело в том, что моим компом овладел вирус, при загрузке выскакивает окошко с содержанием порно эффектов, и написано, что (ошибка windows) просят прислать sms с кодом g4590345h56 на номер 4161. Все мои попытки отыскать код разблокировки пришли к нулю. Искал этот код и на сайте nod32, и на касперском, и на drveb, и на других, но что-то ни один не подходит. Помогите чем сможете. В безопасном режиме загружается, но к интернету не подключается, выдает ошибку 711.

Была та же проблема. Поскольку тут решение проблемы не выявлено, расскажу что мне помогло.
Во-первых заметил, что при нажатии волшебной комбинации ALT+CTRL+DEL диспетчер задач вызывается как ему и положено, но тут же закрывается. И все остальное тоже (меню и т.д.) т.е что-то не дает работать. Однако удалось заметить в диспетчере задач, что запущена какаята программа "project...". Значит скорее всего эта гадость лежит в автозагрузке.
В безопасном режиме Windows загрузился. В меню автозаргузки ничего не нашел.
Пашарил в реестре в разделах RUN и нашел грузившийся файл CRACK.exe, лежавший в папке Windows\system32
Удалил этот параметр в реестре и сам файл. Все. Проблема была решена.
 
1
Читают тему