Добро пожаловать к Жирафу!
Статьи, ЧАстозадаваемые ВОпросы faq купить в Москве
 
 серверы  компьютеры  сетевое оборудование  телефония  серверные шкафы и стойки
 проекторы  ноутбуки  бесперебойное питание  HP CarePack  ленточные приводы DAT DLT Ultrium RDX
 принтеры, МФУ, сканеры  мониторы  программное обеспечение  фото/видео техника  системы хранения данных DAS NAS SAN
Наш номер ICQ 62173072     Наш Skype адрес            (499) 785-6943   

 
  sQuaRe Code

Статьи, ЧАстозадаваемые ВОпросы


У Вас заблокирован компьютер? Не спешите слать СМС безграмотным хакерам!


Рассказ нашего сотрудника.

    В один прекрасный день, буквально недавно, на днях, я подошел к своему бесценному ПК и через 10 минут работы получил лицом об стол - экранчик поверх всех окон, говорящий мне о том, что я злостный педофил и меня могут привлечь и мне надо заплатить штраф 400 рэ на МТС-овский телефонный номер в течение 12 часов, иначе вся информация на винчестере уничтожится.
    Я конечно обделался в штаны, на 10 секунд, все-таки жалко, если пропадут все мои педофильские файлы, созданные непосильным трудом. Отточил на точилке ум и начал блуждать по цифровым дебрям.
    бла-бла-бла, короче!
    Начнем с того, что у меня WinXP
    1. Берем любую внешнюю операционную систему (к примеру MiniPE) и грузимся с нее.
    2. C:/Documents and Settings/All Users/Application Data/22CC6C32.exe это сам вирус. Не удаляйте его сразу. Закиньте туда к вирусу файл Explorer.exe из папки C:/Windows и переименуйте Explorer.exe в 22CC6C32.exe. Теперь у вас под именем вируса будет настоящая оболочка. Но мы еще пока ничего не сделали толком, так что продолжаем.
    3. Идем в C:/Windows/System32/ и удаляем файлы taskmgr.exe и userinit.exe - дело в том, что козлина вирус снес реальные taskmgr.exe и userinit.exe и прописал вместо них под тем же именем хитрые программы, которые при удалении самого вируса 22CC6C32.exe по новой его создают на том же месте, где он и был - C:/Documents and Settings/All Users/Application Data/22CC6C32.exe - так что удалив просто вирус мы от него не избавимся, пока не удалим taskmgr.exe и userinit.exe .
    Идем в папку C:/Windows/System32/dllcache и там тоже удаляем эти же два файла taskmgr.exe и userinit.exe (резерные копии вируса) - они там продублированы на случай, если мы удалили taskmgr.exe и userinit.exe из папки C:/Windows/System32/ и решили, что на этом наши беды закончились.
    4. C:/Documents and Settings/имя_вашего_компьютера/Application Data/netprotocol.exe - удаляем его - этот файл модернизирует реестр и все время прописывает вирнусные записи в соответствующие ветки реестра. Мы потом удалим записи в реестре и автозагрузку этого самого файла в реестре.
    5. Теперь нам надо восстановить userinit.exe , иначе мы не сможем правильно грузануть винду. Поищите в папке C:/Windows/System32/ файл с именем 03014D3F.exe - это должен быть ваш настоящий userinit.exe, вирус ваш настоящий userinit.exe переименовывает в файл с бредовым названием, чтобы когда вы оплатите 400 рублей, вернуть вам вашу винду в рабочем виде. Переименовываем 03014D3F.exe в userinit.exe .
    6. Делаем перезагрузку с винта.
    7. Есть вероятность, что перед собой скорее всего увидите папку Мои Документы и больше ничего. Но это уже прекрасно! Надо вызвать редактор реестра (через файл-менеджер или сходив в папку C:/Windows и открыв regedit.exe). Лазим по реестру.
    HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Winlogon меняем значение ключа Shell - должна быть запись "Explorer.exe" и значение ключа Userinit должно быть "c:\windows\system32\userinit.exe," (с запятой в конце!). Там же можно наблюдать ключ что-то типа usrinit - его можно вообще удалить, это запись вируса о переименованном вашем реальном userinit.exe с дурацким именем, причем это имя видимо является шифром, так как файла с таким именем в C:/Windows/System32/ нет!
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run удаляем ключ (не помню названия), который имеет значение C:/Documents and Settings/имя_вашего_компьютера/Application Data/netprotocol.exe - это автозапуск файла, который прописывает загрузку вируса в реестре.
    8. Reset.
    9. Все! Спасибо за внимание.
    P.S. - на самом деле не все - еще надо восстановить task manager (taskmgr.exe). Я пока не нашел во что его переименовал вирус, но он мне пока не горит, искать его руки не доходят. Можно его качнуть с другой системы, можно вообще забить на него, если он вам не особо нужен. Как найду его в переименованном виде, отпишусь тут.



перейти на главную страницуо компанииприем старого железакомплектующие
частозадаваемые вопросынаши друзьяновости компьютерного рынкараспродажа (уценка)

  ООО "Джей энд Раф"   |   ИНН 7720503988   |   КПП 772001001   (499) 785-6943   office@jraf.ru    62173072
  Юр.адрес: 111123, Москва, Электродный проезд 6, оф. 14       Skype: IT_Giraffa    193201923
улыбочка  Если жизнь протекает хорошо, значит, она дала трещину  улыбочка

hosted by .masterhost
Rambler's Top100     карта сайта 1   карта сайта 2
карта сайта 3   карта сайта 4