Диспетчер задач - из консоли: taskmgr rtsp - C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpc-hc.exe mailto - Opera или Outlook express
для Windows XP: Данное сообщение выходит, если на вашем компьютере установлено приложение KB905474 - Windows Genuine Advantage Notifications. 1. В меню "Пуск", выбираем пункт "Выполнить"; 2. В поле "Открыть" наберите команду regedit и нажмите кнопку "ОК";Откроется окно "Редактор реестра". 3. В окне редактора реестра, последовательно переходим по веткам реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon В этом подразделе будет 20 параметров 4. Делаем копию раздела реестра WgaLogon (так сказать, на всякий случай): щелкаем на разделе правой кнопкой мыши и выбираем пункт меню "Экспортировать".В окне "Экспорт файла реестра" в поле "Имя файла" вводим WgaLogon и нажимаем кнопку "Сохранить"; 5. Теперь удаляем раздел WgaLogon: ПКМ->"Удалить"->"Да". Закрываем все окна и перезагружаем компьютер. SVAO-IX: http://ddd-dc.ru/hublist-svao HOME-IX: http://ddd-dc.ru/hublist-home NetByNet: http://ddd-dc.ru/hublist-netbynet АКАДО Ебург: http://ddd-dc.ru/hublist-akadoural Triolan: http://ddd-dc.ru/hublist-triolan В реестре необходимо просмотреть две ветки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Именно в них содержится информация об автозагрузке. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, по своему опыту знаю, что многие вредоносные программы прописываются именно там, а именно в строковых параметрах shell и Userinit. Первый параметр выглядел абсолютно нормально там была одна запись «explorer.exe», а вот во втором, кроме стандартного «C:\WINDOWS\system32\userinit.exe» через запятую было дописано «C:\Documents and Settings\All Users\Application Data\blocker.exe» (может быть и другой путь в зависимости от вируса). Удалив все лишнее, я закрыл редактор реестра и набрал в командной строке «explorer.exe». Запустился проводник, и я проследовал, по указанному в реестре пути, а именно: "C:\Documents and Settings\All Users\Application Data\". Стоит добавить, что эта папка системная, поэтому она не будет отображаться, если не изменить соответствующим образом настройки отображения папок. В Application Data мною было обнаружено и удалено два вредоносных файла blocker.exe и blocker.bin. Перезагрузив компьютер в обычном рабочем режиме, никаких требований отправки смс уже не возникало. Мне встречались также другие варианты этого вируса, имеющие другое название, и располагающиеся в других каталогах, например "C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files" или "C:\Documents and Settings\имя пользователя\Local Settings\Temp"."HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", а сами вредоносные файлы расположились по адресам:"C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\k.php""C:\Documents and Settings\MyLogin\Application Data\ybuuk.exe"После удаления этих файлов проблема успешно решается. Как восстановить доступ к файлам на сменных носителях после заражения Worm.Win32.Radminerhttp://www.kaspersky.ru/support/viruses/solutions?qid=2086402711. Откройте консоль: Пуск - Выполнить - наберите команду cmd.exe. Перейдите в корень сменного носителя, на котором вредоносная программа предположительно скрыла папки, набрав его имя (например, E:). Выполните команду dir /x. Если скрытая вредоносной программой папка присутствует на данном сменном носителе, то в качестве ее имени будет указано многоточие ( ".."). В соседней колонке будет указано короткое имя папки, по которому она доступна (например, E2E2~1). Переименовать папку, используя короткое имя, набрав команду ren <короткое_имя_папки> RESTORED. 2. Z: (z- буква флешки) 3. dir /x (В одной из строчек будет написано "E2E2~1" "..") 4. ren E2E2~1 redminer (переименовать) или создайте в блокноте файл "redminer.cmd" со следующим содержимым: ren E2E2~1 redminer и запустите его. Запускаем командную строку повышенного уровня, набрав cmd в поле поиска в меню Start (Пуск), щелкнув на иконке командной строки, которая появится в верхнее части меню Start (Пуск) правой кнопкой мыши, а затем выбрав пункт Run as administrator (Запуск от имени администратора). В открывшейся консоли вводим (копируем) такую команду и нажимаем Enter (Ввод): net user administrator /active:yes , если не сработала: net user Администратор /active:yes отключить - net user administrator /active:no если не сработала: net user Администратор /active:no Восстановить админскую учётку можно будет из безопастного режима с поддержкой командной сторки (F6, F8 при загрузке винды) - команды те же.
|
|