Всем привет! был скачан вирус по активации виндоуса
Значит окно активации не такое как у всех,а просто неграмотно нарисованное и вообще с большим кол-вом ошибок в орфографии, это окно выскакивает как в обычном режиме так и в безопасном,диспетчер задач и прочее при первом старте с безопасного выдавало ошибки,о том что повреждены и не могут быть открыты,отладка не помогла. После этого с большой редкостью можно вообще загрузить что-либо в безопасном режиме,ибо выскакивает сразу после загрузки окно активации(в окне нужноо тправить смс с текстом и тока тода типа будет все предотвращено) Помогите,если можете. Желательно без убийства системы,ибо на диске "С" очень важная инфа и сохрнить я ее тоже не могу из-за этой долбанной активации. Пробовал запускать ливсд Доктора Веба,ничего не грузится с привода. Что делать?!

Попробуйте загрузить компьютер в режиме отладки (по F8 при загрузке системы) и сделать логи по этим правилам (http://forum.oszone.net/thread-98169.html)

Ссылку на вирус необходимо убрать.
Работает клавиша Win.
Оттуда уже можешь запустить эту версию AVZ (http://virusnet.info/forum/downloads.php?do=file&id=11&act=down) (полиморфный AVZ в ответе thyrex)

Заходим в Файл -- Восстановление системы.
Отмечаем пункты 1, 6 и "Выполнить отмеченные операции".
Можно будет запустить уже любые утилиты.
Делаем логи и выкладываем.

спасибо сейчас приступим к выполнению

спасибо сейчас приступим к выполнению »
Получилось?

нет,к сожалению то ничего не проходит ,сейчас поставил Windows Live CD, с помощью него наконец-то получил доступ к винту,сканируюсь Ad-Aware Se Personal,пока выявлено тока вот это,как опасный объект: с:\windows\noexe.exe на этой винде к сожалению все старое,даже каспер и тот 5 выпуска.

Soyer888,
Т.е. клавиша Win не работает?

там вообще ничего не работает уже,правда самое удивительное что в безопасном с командной строкой,в строке тока в реестр можно залезть и на этом все заканчивается

Странно. Специально заразился. Клавиша Win работает.

http://s41.radikal.ru/i092/0905/c0/86d718e8db63t.jpg (http://radikal.ru/F/s41.radikal.ru/i092/0905/c0/86d718e8db63.jpg.html)
Ad-Aware Se Personal, »
Эта поделка только "шухер" может отыскать.

но у меня не работает ничего,такого не получается вообще,может что не так делаю,хотя прощу тут уже быть не может.

СureIt его пока не видит.
На завтра уже видеть должен.
Вирус ушел на анализ.
Скачаешь новую версию и запустишь из под LiveCD.

итак каким то чудом я запустил АВЗ с диска , поставил скан,запустил я это через диспетчер задач ибо кнопка Win так и не работает,пробовал не однократно из всех клавиш работают только Шифт и вызов экран клавы. Все остальное в бане полном.Диспетчер задач тоже странно но запустился,до этого через ЛивСД попал я на винт,там посмотрел по реестру некоторые моменты которые посмотрел на схожих проблемах в гугле ничего подозрительного не заметил. Подскажи как ты избавился от этого чуда?!

Я так понимаю в диспетчер задач вы попасть можете. Сделайте логи http://forum.oszone.net/thread-98169.html. Кофейная гуща не смогла дать ответ.

Значит окно активации не такое как у всех,а просто неграмотно нарисованное и вообще с большим кол-вом ошибок в орфографии, это окно выскакивает как в обычном режиме так и в безопасном »
Была схожая ситуация)Окно активации действительно не такое,как у всех,правда видок у него был другой,на чёрном фоне красное окно,с требованием отправить SMS на четырёхзначный номер.И ошибок в орфографии не наблюдалось)При этом зайти в систему не представлялось возможным ни через обычную загрузку,ни в безопасном режиме(когда окно появилось при работающей системе оно закрывало больше половины экрана,программы запускались,но за ним,оно оставалось на переднем плане.После перезагрузки системы ступор,и это окно.)Ничего не смог сделать,снёс Винду.Зашёл со второй,работоспособной ОСи (она у меня на диске:E)Зашёл на диск :C,где стояла заражённая система,там,просто на диске С,(не в папках) файл ехе.-Windows NT(вроде бы так назывался...)Ярлык стандартный,как под DOS.Где ещё эта зараза успела прописаться не известно.Запустил,точно,выскакивает это окно активации...)Где-то я эту заразу заархивировал,найду,сброшу...

специально заразился вот лечение

Клавиша Win работает это первое
заходим в папку C:\Windows, отображаем скрытые файлы и папки, находим файл NOEXE и переименовываем в _Noexe (или при помощи LiveCD дистрибутива удаляем, к сожалению на моей конфигурации не один LiveCD не работает) и удаляем, перегружаемся и видим нормальный рабочий стол, только вирус удаляет все что есть в Автозагрузке и нарушает ассоциации с *.lnk

остается применить Твик


Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"

[HKEY_CLASSES_ROOT\.lnk\ShellEx]

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"

[HKEY_CLASSES_ROOT\lnkfile]
@="Shortcut"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""

[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]

[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
@="Shortcut"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]
@="lnkfile"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\regfile]
@="Registration Entries"
"EditFlags"=dword:00100000
"BrowserFlags"=dword:00000008

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\
2c,00,31,00,00,00

[HKEY_CLASSES_ROOT\regfile\shell]
@="open"

[HKEY_CLASSES_ROOT\regfile\shell\edit]

[HKEY_CLASSES_ROOT\regfile\shell\edit\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\
00

[HKEY_CLASSES_ROOT\regfile\shell\open]
@="Mer&ge"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\regfile\shell\print]

[HKEY_CLASSES_ROOT\regfile\shell\print\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\
00,25,00,31,00,00,00


to Severny ты отослал файл в Kaspercky lab или еще кудато?
пришли мне его на почту или в PM а то я его стер

Антивирус Касперского его уже определяет см. здесь (http://www.virustotal.com/ru/analisis/ee78f9f15f947282320c3869b4ecaee4), DrWeb ещё нет
Soyer888, проведите проверку с помощью свежей версии AVPTool, сделайте логи по правилам. Попробуйте добраться до AVZ через диспетчер задач или по одной из методик здесь (http://virusnet.info/forum/showthread.php?p=4028#post4028), здесь (http://stopvirus.ru/winlock/) или здесь (http://virusinfo.info/showthread.php?t=44817)
Проверьте в рестре параметры HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Если "RestrictRun"=dword:00000001, измените на "RestrictRun"=dword:00000000, проверьте также ключ "Run"
Попробуйте переименовать avz в iexplere.exe

Антивирус Касперского его уже определяет »
Установщика пока не определяет (установленный на компе Каспер).

Вирус проанализирован - копирует себя в C:\WINDOWS\NoExe.exe и устанавливает ассоциацию на команды open и runas EXE-файлов. При этом %1 в команде отсутсвует, то есть запуск файла так и не происходит. Вирус повреждает Диспетчер Задач ("taskmgr.exe ... должно быть закрыто") при запуске - сам файл taskmgr.exe не портится. В автозапуск не прописывается, включается, похоже, перехватываяя запуск, например, ctfmon.exe или еще чего-либо. (Путем ассоциации файла).
iexplere.exe »
iexplore.exe

если можешь загрузится с LiveCD посмотри в реестре HKLM-Microsoft-WindowsNT-Current version-Winlogon есть типа параметр Shell. там должно быть прописано только Explorer.exe. Если есть чтото еще, отредактируй и оставь только Explorer.exe, и перегрузи машину

unick12345, смотрел этот параметр все в норме ничего лишнего