Вирус-вымогатель

KipiSHks · 16.10.2012, 18:51

здравствуйте! помогите, пожалуйста. подхватил вирус вымогатель. порылся в интернете и напал на одно разъяснение, следуя которому и начал процедуру. использовал ERD Commander. закончив, перезагрузил компьютер. запросил имя пользователя и пароль. не знаю что вводить, ведь до этого не было никакого пароля. подскажите, что можно сделать? ОС менять не хочу, много данных на "С".

Не надо лезть в чужие темы. Создал Вам отдельную тему. Модератор.

И, кроме того, не следует заниматься кросспостингом: штамповать дубликаты тем и сообщений в разных разделах. Клон удален.
Тоже модератор. Другой.

Fenix · 16.10.2012, 19:15

Какая ОС?
А без пароля войти пытались?

usmfed · 16.10.2012, 19:17

Какой вымогатель
Что закончил?
Кто запросил имя и пароль?
Что вообще сделали то?
Поподробнее пожалуйста

-ЗЛОЙ- · 16.10.2012, 20:36

попробуй ввести
Логины: Администратор, Админ, Пользователь, Гость...
Пароль просто -ентер-

akok · 16.10.2012, 21:59

Вы случаем файл userinit.exe не удаляли? Хотя скорее всего удалили ключ реестра. Запускайте свой LiveCD, монтируйте реестр (уже умеете) и проверяйте:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Userinit должно быть

Код:

C:\WINDOWS\system32\userinit.exe,

KipiSHks · 17.10.2012, 11:10

модераторам приношу свои извенения. первый раз на форуме, до этого не доводилось, теряюсь, как в мегаполисе.
ОС Windows XP SP3. пробовал вводить различные пользователи, но бузуспешно. лишь с одним пользователем получился некий прогресс. ввел безпароля. выбило "загрузка личных параметров" через секунды 2 написало "сохранениие личных параметров" и все заново, т.е. запрашивает ИП и пароль, как будто кто-то руководит процессом.
В реестре добрался до winlogon привел параметры ключа "Shell" в порядок, оставив только значение "Explorer.exe", userinit на тот момент не обнаружил, пришлось самому создовать и вводить значение ключа "C:\WINDOWS\system32\userinit.exe" в точности как написали сдесь. следом я зашел в Run и убрал не знакомую мне программу, которой раньше не было. вот собственно говоря и все. следом началось запрашивание ИП и пароля.

akok · 17.10.2012, 12:56

Файлы физически находятся на диске?

Пожалуйста, подготовьте лог UVS

akok · 17.10.2012, 13:00

Цитата:

пришлось самому создовать и вводить значение ключа

Какой ключ создавали? Должен быть вида "Строковой параметр".

KipiSHks · 17.10.2012, 13:45

да, файлы физически находятся на диске.
создал строковый параметр, дважды кликнул нанего, назвал userinit и ввел значение

usmfed · 17.10.2012, 19:28

Цитата:

Сообщение от KipiSHks

...В реестре добрался до winlogon привел параметры ключа "Shell" в порядок, оставив только значение "Explorer.exe", userinit на тот момент не обнаружил, пришлось самому создовать и вводить значение ключа "C:\WINDOWS\system32\userinit.exe" в точности как написали сдесь. следом я зашел в Run и убрал не знакомую мне программу, которой раньше не было. вот собственно говоря и все. следом началось запрашивание ИП и пароля.

А Вы запятую после userinit.exe поставили?
.../userinit.exe,
Вот так должно быть.
Еще посмортрите вот эту ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Если есть то удалите ее.
Еще вопрос: Какую ветку Run Вы очистили?

16.10.2012, 18:51	#1 (permalink)
KipiSHks Новичок Регистрация: 16.10.2012 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Вирус-вымогатель здравствуйте! помогите, пожалуйста. подхватил вирус вымогатель. порылся в интернете и напал на одно разъяснение, следуя которому и начал процедуру. использовал ERD Commander. закончив, перезагрузил компьютер. запросил имя пользователя и пароль. не знаю что вводить, ведь до этого не было никакого пароля. подскажите, что можно сделать? ОС менять не хочу, много данных на "С". Не надо лезть в чужие темы. Создал Вам отдельную тему. Модератор. И, кроме того, не следует заниматься кросспостингом: штамповать дубликаты тем и сообщений в разных разделах. Клон удален. Тоже модератор. Другой.

16.10.2012, 21:59	#5 (permalink)
akok Member Регистрация: 14.09.2010 Сообщений: 36 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Вы случаем файл userinit.exe не удаляли? Хотя скорее всего удалили ключ реестра. Запускайте свой LiveCD, монтируйте реестр (уже умеете) и проверяйте: Код: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Значение ключа Userinit должно быть Код: C:\WINDOWS\system32\userinit.exe, Последний раз редактировалось akok; 16.10.2012 в 22:05

16.10.2012, 18:51
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Очень часто в решении проблем помогает прочтение схожих топиков Очередной банер-вымогатель Баннер-вымогатель - 2 Баннер - вымогатель Вирус Это вирус или нет?

16.10.2012, 19:15	#2 (permalink)
Fenix 404 Регистрация: 10.01.2010 Сообщений: 1,749 Записей в дневнике: 5 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 3868	Какая ОС? А без пароля войти пытались?

16.10.2012, 19:17	#3 (permalink)
usmfed Member Регистрация: 26.01.2012 Сообщений: 1,292 Сказал(а) спасибо: 0 Поблагодарили 7 раз(а) в 2 сообщениях Репутация: 6690	Какой вымогатель Что закончил? Кто запросил имя и пароль? Что вообще сделали то? Поподробнее пожалуйста

16.10.2012, 20:36	#4 (permalink)
-ЗЛОЙ- Banned Регистрация: 04.10.2010 Сообщений: 3,765 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2154	попробуй ввести Логины: Администратор, Админ, Пользователь, Гость... Пароль просто -ентер-

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

17.10.2012, 11:10	#6 (permalink)
KipiSHks Новичок Регистрация: 16.10.2012 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	модераторам приношу свои извенения. первый раз на форуме, до этого не доводилось, теряюсь, как в мегаполисе. ОС Windows XP SP3. пробовал вводить различные пользователи, но бузуспешно. лишь с одним пользователем получился некий прогресс. ввел безпароля. выбило "загрузка личных параметров" через секунды 2 написало "сохранениие личных параметров" и все заново, т.е. запрашивает ИП и пароль, как будто кто-то руководит процессом. В реестре добрался до winlogon привел параметры ключа "Shell" в порядок, оставив только значение "Explorer.exe", userinit на тот момент не обнаружил, пришлось самому создовать и вводить значение ключа "C:\WINDOWS\system32\userinit.exe" в точности как написали сдесь. следом я зашел в Run и убрал не знакомую мне программу, которой раньше не было. вот собственно говоря и все. следом началось запрашивание ИП и пароля.

17.10.2012, 12:56	#7 (permalink)
akok Member Регистрация: 14.09.2010 Сообщений: 36 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Файлы физически находятся на диске? Пожалуйста, подготовьте лог UVS

17.10.2012, 13:45	#9 (permalink)
KipiSHks Новичок Регистрация: 16.10.2012 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	да, файлы физически находятся на диске. создал строковый параметр, дважды кликнул нанего, назвал userinit и ввел значение