Как-то тему обсуждали и читала, как помогли девушке комп вылечить
помогло вот это от Пукшин
У меня сейчас на мониторе такая же херня с грозными заголовками от Бундесполицай и совсем не получается нажать при загрузке компа на Ф8! Ну и тем более до абгезихерте модус дойти тоже невозможно.....Что можно сделать? Взяла лептоп у дочи фильм посмотреть, а тут вот такое получилось!

у вас кнопка эта током бьется? ) включайте ноутбук, и жмякайте непрерывно эту кнопку пока не появится меню, не нажать и держать, а многократно )

скачать лайф-CD с антивирусом, например Kaspersky Rescue Disk
записать на диск
загрузиться с этого диска
загрузить оновления антивируса
прогнать антивирус

Подробную инструкцию по разблокировке можно прочесть здесь:
http://support.kaspersky.ru/viruses/solutions?qid=208642240

кто этим уже лечил?

а где подловили этот вирус? Скажите чтоб мы туда не ходили

Да хотела Побег Из Шоушенка посмотреть. ввела в гуглю и на первой ссылке и хапнула эту гадость!

Да, так получилось! А потом что делать? Дочь со школы придет и прибьет меня

жесть! безопаснее всё-таки во вконтакте смотреть

http://www.malwarebytes.org/products/malwarebytes_free вчера вот этим вылечил

я вот этим http://www.freedrweb.com/livecd/ LiveCd Бундесполицая лечил. Обновлять ничего не надо, т.к. они и так на сайте всегда самую новую версию выкладывают. Просто на другом компе скачиваешь с сайта образ, прожигаешь его, а потом вставляешь полученный зугрузочный диск в больной комп и перезагружаешься. После перезагрузки указываешь диск, который надо лечить, и он сам всё проверяет и всё лечит. Этим LiveCd, кстати, можно копировать файлы с компа, даже когда Windows оказывается испорченной и отказывается загружаться вообще. Я им так спасал данные с компа перед тем, как просто заново поставить с загрузочного диска винду с полным удалением всего, что на компе до этого было. Но там крах винды с бундесполицаем никак связан не был...

Вы шутите? Человек в Безопасный режим войти не может, а вы тут целый ряд таких сложных инструкций!
Да, кстати, безопасный режим мало что скажет и как либо поможет... хотя попытка не пытка.
Хотел у вас поинтересоваться, у вас так страшна Полиция (точнее не сама полиция, а она так следит за вами)? Почему-то в Россия такого нет, пока что нет )). У нас если есть баннер, то уж точно не от полиции, а от простых вымогателей, поэтому смело можно его удалять!

Вы наверное до сих пор не в теме раз серьёзно считаете что это от полиции. Тогда хоть погуглите.

Вчера пыталась этим способом вылечить комп-загрузила программу, перекинула на диск, выбрала в БООТ Меню ЦД-ДВД загрузка, а лептоп все равно грузится по-своему. Что мне делать?

Ну и этим способом воспользовалась, тоже прогу скачала, на диск перекинула, вставила в лептоп, включила лептоп, а вот как указать диск-не могу, т.к. когда комп включается, то монитор чистый, то есть я никуда зайти не могу, чтоб диск запустить. Помогите чайнику, может пошагово можно объяснить на какие кнопки жать?

F8 надо нажимать тогда, когда еще у Вас черный экран (первичные экраны БИОСа). Тогда должно появиться Виндоус Стартменю. Из него и выбирается абгезихерте Модус. У меня получилось в обычном режиме это сделать, как появился только десктоп и удалось войти в Стартменю - сразу пошел в Autostart и удалил там подозрительный файл (то, что обычно грузится из моих программ в автозагрузке я знал). Но через безопасный режим это можно сделать без особой спешки. Удачи.

Что компьютер пытался загрузиться со стартового диска - надо в БИОСе выбрать приоретет загрузки. Первым выставить CD/DVD. Для того, чтоб попасть в БИОС надо нажимать определенную кнопку. Какую - зависит от фирмы производителя. Эту информацию можно найти в инструкции к Вашему ноутбуку. Если инструкции нет - ее можно скачать с сайта производителя. Если не можете найти - сообщите здесь модель и Вам помогут ее найти.

Тогда бы хоть ответили на мой вопрос, а не посылали гуглить.
Я просто уже не первый раз читаю темы, где спрашивают "вот баннер от полицай, что делать?". По этому у меня и возник вопрос, что ваша полиция этим занимается? Почему все спрашивают, а это точно не от полицаев? Я даже про Россию сказал, что никакой полицией в Россия и не пахнет (чтоб она этим занималась) и у нас не возникают вопросы, а может это от полиции баннер? Я просто поинтересовался, почему, читая тут темы, часто спрашивают "а не от полицай ли этот баннер?".
Elena Prekrasna, а вам лучше отдать комп в руки мастеров или это дороговато?

потому что недавно было много шума о внедрении некоего трояна для слежки за преступниками,
поэтому читая слово "Bundespolizei" в тексте трояна люди думают, что это он и есть

Да, я выставила первым ЦД-ДВДБ но при перезагрузке комп все равно стартовал как обычно!
Да,я уже смогла зайти с помощью Ф8и выбрала абгезихерте модус. Комп включился, а дальше что мне делат?

Я уже отдала раз в руки мастеров, такая же проблема была, так он мне все стер и переустановил по-новому. А потом я здесь узнала, что можно было бы и по-другому сделать, без потери всей нужной инфы и фоток, которые были на лептопе!

Не, я знаю, что это не они, просто тему так обозвала, чтоб люди знали о чем речь идет.

вчера похоже этого трояна подцепил. похоже потому что полностью отработать ему не дал, убил в зародыше до перегрузки
осталась запись в автостарте и ехе-файл в темп-папке.
файл естественно тут же скормил на virustotal
вчера вечером его опознал только
NOD32 Win32/Reveton.A
сегодня о нём знают уже
Emsisoft Trojan.Win32.Reveton.AMN!A2
Kaspersky Trojan.Win32.Rudlin.l
вечером ещё попробую

Теперь войти в Стартменю - Zubehör - Autostart и удалить там подозрительный файл. Если не уверены, просто перенесите его из папки Аутостарт на Десктоп (Рабочий стол) пока. Перегрузите компьютер и все должно уже быть нормально.

Спасибо за ответ. Теперь мне ясно, почему так все напуганы... но как мне кажется, то это просто слух... а может есть реально у кого знакомый, к кому "настоящие" полицаи приходили и брали штраф?
Elena Prekrasna, извините, увидел уже от вас ответ, что вы вошли уже в Без режим... сообщение удалил.

реальные полицаи о визите заранее не предупреждают. звонок в 6 утра, жильцы мордой в пол, компьютер и всё сопутствующее забирается для изучения.
конечно далеко не за посещение порностраницы .
а вот если запустить дома трекер то вполне можно познакомиться

Если совет boobler не поможет, то попробую дать один из своих, потому что та Автозагрузка, которую описал boobler, далеко не вся...
Попробуйте сделать следующее (все делать в Безопасном режиме):
- Нажмите сочетание клавиш Windows+R (или Пуск - Выполнить)
- Перейдите в дереве слева по следующим веткам и удалите все оттуда (так будет надежнее)
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Далее загрузите ноут в обычном режиме, если не помогло, значит попробуем Winlogon.

Прикольно!!! Но, конечно, кто же трекер будет держать дома? )) А у вас этим занимается прям спец отдел полиции? Как он называется? )))

обычная криминальная полиция - BKA
причины могут быть и другими, но в любом случае серьёзнее чем посещение сомнительной страницы

А как я определю какой файл подозрительный?

запустите msconfig он покажет все точки автостарта.
внимательно посмотрите пути файлов.
увидите кусок пути "/temp/" , убивайте без жалости.

Обычно его сразу можно определить по нестандартному названию, иконка у него не как у программы. Если сомневаетесь - перепишите все названия файлов и выложите нам, мы определим. Я уже не помню, как тот файл назывался. Да и названия каждый раз могут быть разные. Важно знать Ваши программы, которые загружаются в автостарте и тогда легче отфильтровать.
P.S. Да, диск не загружался потому, возможно, что не был boot-fähig (загрузочным), был неправильно создан.

При нажатии на аутостарт вылезло SKY Monk-это было на компе и раньше и 0.8537489324346385g8j8.exe

Хм, вот то, что Вы написали-это практически, как на китайском для меня

это он, ваш троян. удаляйте

правой кнопкой на лёшен?

Откуда, каким броузером?

откуда сам не запомнил. выскочил попап , там начала грузиться ява , и тут же выскочило окно ИЕ и максимировалось на весь экран.
ИЕ тут же ругнулся на содержимое вызываемой страницы.
лазил с файрфоксом . подозреваю, что ИЕ это бы не прошло. страница попапа бы попросту заблокировалась как неблагонадёжная

Ура! Ура! Ура! У меня получилось!!! Спасибо всем огромное за помощь!!!

Значит, мне по-прежнему ничего не грозит :)

не уверен, они похоже используют какую-то дыру в яве.
а ява имеет права на запись, т.е. в принципе влететь можно в любом бровзере.
преимущество ИЕ - центральная база неблагонадёжных сайтов, есть ли такое в опере - не знаю

Есть такая база. Афаик у фф тоже есть.
Джава у меня отключена.
У апплетов по идее никаких прав на запись быть не должно.

по идее не должно, но видимо есть дыра.
а страницы вызываются рекламными попапами . т.е. где-то в баннерообменной сети затесалось пару зараженных страниц

Сторонние скрипты тоже блокируются, значит, втройне безопасно :)
У тебя ABP не стоит? Или он с этим не борется?

только сейчас обратил внимание - нет его. странно, дежавю чтоли, вроде ставил его

Вы про JavaScript?

нет. Java

Доброй ночи, Елена!
То, с чем Вы столкнулись - довольно распростанённая "зараза". Эта штука называется ПорноБлокер.
В России праграмма просит отсылать смс на короткие номера сотовых операторов или положить денег на номер сотового... В Германии, однако, не боятся пачкать имя немецкого полицейского... О времена, о нравы...

Девушка, не оскверняйте свою душу ругательствами, пожалуйста. У Вас ведь дочка уже есть...
Теперь, собственно, по делу...
Если Вы хотите лечиться самостоятельно, то Вам понадобится, как минимум, одна полезная программа - AVZ (www.z- oleg.com). Программа понадобится, когда будем чистить реестр от этого негодника - вируса. Если Вы желаете привлечь знакомого, то информация о загрузочном меню Вам не нужна - не стоит забивать голову - уверен, у Вас есть заботы кроме лечения компьютерных вирусов. Я обрисую лечение в общих чертах. Если захотите лечить самостоятельно и возникнут еще вопросы - обращайтесь.
Итак...
Если у Вас стоит одна операционка (Windows XP, очевидно), то бывает трудно поймать момент для выхода в загрузочное меню... но это просто! Как только промелькнули таблички БИОСА - жмите и не отпускайте клавишу F8.
Если видите не загрузочное меню: 1. Безопасный режим; 2. Безопасный режим с поддержкой коммандной строки; - просто нажмите клавишу Esc (слева в верхнем углу, как правило) и сразу как выйдите из "непонятного места" - сразу жмите F8. Должны попасть в загрузочное меню.
Выбираем безопасный режим и ... идём пить чай/кофе - занимаем время простоя более важными делами, чем гляделки в дисплей. Забавно, но ОС Windows XP даже на последних моделях ПК безопасный режим грузится невыносимо долго (минуты 3 - 6!). Ужас!
И Вот пред наши светлые очи предстаёт зловещее сообщение... В России оно утверждает, что пользователь любиль зоофилии и прочих, довольно пикантных "блюд"... ;-) За удовольствие, как известно, нужно платить! ;-)))
Я не знаю всех особенностей общественной жизни в Германии (Потому не знаю промежуточных манипуляций, которые Вас могут попросить сделать.), но вас, наверняка попросят ввести какой - то код и предоставят Вам такую возможность (дадут точку входа в механизм разблокировки ПК). Найдите в сообщении ссылку на ввод числового кода (если нет поля для ввода в окне сообщения).
Введите любую последовательность цифр и нажмите на кнопку подтвержения ввода.
Конечно, выйдет сообщение о неверном коде. Не закрывайте его! Наш горе - программист оставил нам лазейку и мы её используем.
Нажмите фолшебную комбинацию CTRL- ALT - Del и выйдете в диспетчер процессов. Наверняка вы увидите "чужака" - запишите имя процесса на шпаргалку (нам это имя еще может пригодится) )и убейте этот процесс! Окно - пугалка исчезло! Но это лишь до перезагрузки... :-(((
Дело в том, что этот негодник прописал себя в реестре и загружается автоматически при старте ОС!
Вот здесь Мы и запускаем программу AVZ (помните, я говорил о ней раньше?!). Выбираем в меню "сервис" - "Менеджер автозапуска". В нем смотрим пункт автозагрузка. Находим самозванца и удаляем из системы без выходного пособия!
Проверьте этой программой систему на вирусы и почистите экскрименты, оставленные самозванцем. Они уже не опасны, но все равно неприятно! Также советую пройти по адресу: Пуск - Выполнить: regedit. Запустится штатный менеджер реестра.
Помните, я любезно попросил Вас записать имя Нашего обидчика?! Вы так и поступили?! Какая Вы умница! Теперь нужно ввести имя процесса обидчика в окне найти, штатного реестра Windows XP (мы его уже запустили)... Если система найдёт "записки негодяя" в реестре - удаляйте и жмите F3, чтобы искать дальше до сообщения: "Ничего не найдено".
Вот и всЁ!
Будут вопросы - обращайтесь! Всегда приятно помочь хорошему человеку!
Удачи, Елена!
P.S.: Можно не удалять останки вируса из реестра и с винтчестера - после удаления его из автозагрузки, вирус перестанет Вас беспокоить. Но, согласитесь, разводы на стеклянных поверхностях не красиво смотрятся! ;-)

Жжош, взаправду жжош!

-?!..
Я помочь хочу человеку!

Tl;dr

Ещё проще, коль скоро удалось войти в защ. режим, сделать откат системы на последнюю довирусную точку, и все дела. Я так два раза поступал, когда эту дрянь поймал. Останки можно вычистить, можно нет - беспокоить не будут. Один раз, когда начала эта зараза вылезать, сразу сброс компа сделал. Видно, она развернулась не полностью, и вместо рабочего стола после перезагруза открылась его папка со всеми значками. Оттуда тоже восстановление запустил, и никаких проблем. Совет: следите, чтобы у вас всегда была свежая точка восстановления. И ни в коем случае не следуйте советам некоторых умников восстановление отключать, чтобы якобы не засорять зря систему.

Это, что означает? "длинно, читать влом????"

Типа того (too long / didn't read)

мне тоже понравилось художественное оформление ответа на технический вопрос :0)

Особенно на вопрос, который уже решен ;)

Продолжу тему.
Знакомые поймали эту заразу. Они сумели зайти в защищеном режиме с поддержкой сетевый драйверов, так что я смог подключится к ним teamviewer'ом.
В автостарте ничего подозрительного нет, новых файлов *.ехе созданных за последнию неделю нет (за исключением установочного файла скайпа).
В реестре в Winlogon в Shell прописан explorer.exe. Возможно он инфицирован, пытался заменить аналогом со своей системы, нет прав для этого.
Подскажите где еще искать, где эта зараза еще может быть?

Откат системы не пробовали?

В абгезихерте модуль с айнгабеауффордерунг пускай напимшут "explorer.exe" - если подымиться зараза то зараза в нем. Как я когда-то пмсал, модификаций вируса мне попадалось несколько, даже картинка была разная.

Еще не пробовал, удаленно как-то не хочется. Это отложу на выходные, комп привезут тогда ко мне.

Попробуем.

Я делал удаленно откат, все нормально. Только во время перезагруза компа желательно связь по телефону поддерживать, чтобы быть в курсе, что получилось. А хуже не будет.

Ну это еще вопрос, что там в этом "снимке". Ко мне за месяц шесть систем привезли с одной и той же гадостью... На трёх из них умудрились хорошо подготовиться к нападению на систему... Хотя там и антивирус и брандмауэр стоял... :-((
Там тебе и Malware, и троян, ну и, наконец, Порноблоккер...
После того как я узнал метод перевода системы из Windows XP Home в Windows XP Pro "легким движением руки"... Всякие штатные способы отката системы воспринимаются мною весьма критически (хотя и не опровергаются).
Я, от чего - то, не стал полагаться на случай... Для хорошего человека, очевидно, времени не жалко (если он им не злоупотребляет ;-))

Удалёнкой не пользовался, поэтому за нюансы отвечать не могу, но...
Вы верно догадались - Порноблокер модифицирует один из файлов системы. Вернее он создает его модифицированную копию и прописывает её в реестр автозагрузкой (В меню Автозагрузка вы не найдёте ярлыка на ресурс) - именно в реестре нужно искать (через regedit.exe, но AVZ удобнее - это еще и антивирус)!
С названием файла Вы ошиблись - модифицирует он не Explorer.EXE, a WINLOGON.EXE.
Искать его нужно в папках временых файлов: x:\document and users\Esslinger\LogalSetting\....\temp; x:\windows\temp;
Здесь х - системный раздел. Temp - папка временных файлов.
Удалить эти файлы не достаточно - нужно удалить ссылку из реестра, чтобы он не считал этот файл "ВОРОТАМИ В МИР WINDOWS XP".
Буду рад, если помог избавиться это этой нечисти.
Успехов Вам!

Можешь же, если хочешь ;)

Или ХОЧУ, если МОГУ! ;) А Вы, собственно, к чему все это?! Цитируйте Genosse!

Tambower Wolf ist dein Genosse ;)

Nein! Das ist mein Lehrer! Und echte Freund! ;)
А вообще - это флуд уже. Не будем засорять ветку!

вчера прогнал Kaspersky Rescue Disk10 и найденые папки удалил вручную. т.к. этот геморой работает под виндовсом всё прошло успешно. удалял через эксплорер под линуксом на котором касперский и работает. нашёл такое решение самым простым и удобным. удачи

http://www.malwarebytes.org/products/malwarebytes_free
Подтверждаю, уже два компа так вылечил. Заходишь в защищённый режим(abgesicherter modus) и стартуешь Malwarebytes Anti-Malware, сканируешь и готово. Если на компе нет этой программы, то можно установить через защищённый режим на комп или стартануть её с USB-Stick.

Н. П.
Подскажите пожалуйста кто знает, а какой антивирус справляется с этим трояном? Неужели пропускают все? У меня установлены Windows XP и антивирус Avast версия 4.8, она хоть и старая но всегда обновляется и не раз выручала... Но вот на каком-то сайте я просто кликнула по пустому месту, и сразу выскочило другое окно, я его сразу закрыла. Но Avast показал Malware, и через пару секунд он показал трояна на диски С и предложил его внести в карантин. Может это была моя ошибка, но я выбрала его удалить сразу! Avast написал, что он не может это сделать(( И уже через пару секунд появился этот полицай(( Помог откат системы, как здесь уже написали, но после этого стало страшно бродить по просторам интернета... Поэтому хочу знать, какой антивирус не пропускает этого трояна вообще? И если уже пропустил, то поможет ли если я его упрячу в карантин? И ещё, как справляется с этим Windows 7? Ведь у него всегда выскакивает своё окно виде защиты, которое всегда спрашивает об изменениях...

привет ты побывал est nod 32 помогает прикрасно мая жена лавила 5 рас песпролем вывадил а все паки оствались намести

ни один антивирус с этим нормально не справляется. точнее говоря антивирусные компании начинают вносить эти трояныв свои базы только через день- два после выхода очередного штамма трояна ,
а к этому времени уже как правило поздно. пожалуй это лучшее подтверждение мифичности надёжности каких-то платных антивирусов
с удалением вы сделали правильно - единственная разница с карантином закллючается в том что в карантине вирусы не удаляются, а просто хранятся в обеззараженном виде.
раз они вам не нужны, то можно смело удалять, иначе при смене антивируса новый антивируса найдёт этот карантин и обрадует вас количеством найденных вирусов.
конечно то что аваст не сумел удалить трояна говорит о том, что антивирус надо менять

никак не справляется. виндовс защищает только системные файлы,
хотя если использовать его возможности, то опасность заражение как этим так и любым другим вирусом можно значительно уменьшить.
попросту создаёте новое конто с администраторскими правами и паролем, заходите один раз из под него , снижаете права вашего конто до стандартного пользователя.
ну и естественно не лазите где попало с администраторского конто.
после этого удалить трояна зайдя под администратором будет очень просто
или при заражении зайти в защищённый режим и запустить приложенный файл.
в принципе его неплохо и так время от времени запускать - он может значительно облегчить систему убрав мусор, но не в состоянии стереть важные файлы.

У администраторского аккаунта по сути те же права, если UAC выставлен по полной.

Дело в том, что это банальный MBR вирус, поэтому до ф8 дело то и не доходит.
Только грузиться с LiveCD, а дальше море вариантов drweb cure it, kav rem.......

Это с какого перепугу не верь тому кто тебе это сказал
если это было так то оно лечилось бы fdisk /mbr
и никто дивные рассказы бы про то как лечить здесь бы не писал
да и мало там места в mbr чтоб туда что то большое поместилось
там только примитив уместится время mbr вирусов уже прошло

это не МБР вирус и не может им быть.
для записи в МБР нужны системные права, а эта пакость
устанвливается не запрашивая их.

Ну я об этом же нету там места чтоб там все это мутить
и я думаю что винды вообще не загрузятся если там что то на 13 int
сидеть будет и все через себя пустит
эти игрушки только под давно забытым досом

ну почему же, есть достаточно программ которые прописываются из под виндовса в загрузчик МБР
но то всёпрограммы которые отрабатывают при старте и в последующем не могут влиять на работу операционки.
ну разве записать что-то, что будет позже прочитано из под виндовса или самим виндовсом

Где-то читал, что есть уже первые трояны-гипервизоры.

Ну так это уже не про вирусы речь, вирус то как раз наоборот хочет влиять ,то что туда прописать об этот речь не идет
в частности MBR вирус перехватывает 13 прерывание и отслеживает доступ на все виды устройств и старается
прописать себя в случает жесткого диска в MBR или в boot сектор на floppy
P.S. сама винда пишет свою сигнатуру на первый сектор диска то есть между загрузочным кодом MBR и partition table
по ней позже и разпознается жесткий диск если аккуратно его затереть то после запуска винда скажет что обнаружен
новый жесткий диск хотя этот диск был уже раньше под этой же виндой ну и естественно заново прописывает туда сигнатуру

Сегодня мой муж тоже словил этот вирус полицейский.Тоже пробовал сначала через модус зайти но ничего не получилосьПотом хотел по новому виндос загрузить. Но выходит сообщение что Festplatte beschädigt ! Завтра сообрался с утра в магазин ехать за новой платой. Просто ужас что творят эти мошенники!

пусть не торопится. ни один вирус не может повредить фестплату

Центрифугу зато может :-D

а старую фестплату мне пожалуйста подарите, ферзанд оплачу))

Ну его нафиг, еле вернулась во вчера, но этот файл откопать не могу, вроде бы комп стартует)))

У меня сегодня такая же ерунда: прихожу домой а там муж с квадратными глазами, говорит,я хотел порнушку посмотреть, а там полиция и комп завис. Я думила, всё, пипец пришел. Я как админ стерла его Benutzerkonto со всеми датаями, пока все нормально или все-таки вылезет что то?
Пойду поиздеваюсь над мужем немного, а потом успокою, что это троян а не полиция. Мож еще в каких грехах признается.

интересно даже стало...
дайте ссылку, где вы их берете, шо там за чюдо посмотреть

Глупость эти банеры не лечаться анивирусниками, глупость в квадрате...

Повторяю антивирусами вы не вылечите эту гадость, особенно на ХР. Самое простое загрузиться со спец. загрузочного диска ERD COMMANDER и откатить ось назад, до события. Но бывает так что нет точки восстановления или есть такие новые рукотворные трояны что блокируют в реестре восстановление системы. Значить чистим реестр, опять же через ERD COMMANDER. Обращаем внимание там будет указано где сидит эта гадость. ЕЕ надо начисто с компа удалить, если оставить она при загрузке из корзины опять лезет в реестр. А все там диски с антивирусами это старое стредство и т.п. Так как это рукотворные вредоносы и практически все антивиры не ловят это, просто укажет что что-то влезло, зависло, перезагрузка и блокировка рабочего стола. Есть спец загрузочные aнилокеры, которые удаляют автоматически. Но опять же если новая гадость, а появляется это раз в три месяца удалить но тот останется на компе, плюс надо вручную гадость удалять с компа начисто. Это раз. Два это когда эта гадость лезет в загрузчик, тогда винда не грузиться вооще а появляется что-то подобное мало памяти и т.п. Опять же через загрузочный диск ERD COMMANDER восстановить загрузчик. Повторяю для упертых антивирусы бессильны против новых типов этих вредоносов. На ХР практически нет защиты, только если ставить утилиту AntiWinLocKer кое-что он делает и убирает. Но так как эти все вредоносы под ХР пишуться и все время обновляются не эффективной защиты, кроме как в инете не лезь во все дырки и углы, но заражают даже детские сайты и спортивные. На 7 своя защита и пока пользыватель не нажмет зараженную ссылку ничего не попадет на комп. Действенные меры будут когда хотя будет изловлена вся группа и цепочка вымогателей, публичный суд по максимальному сроку и денежному штрафу..... Но к сожалению в России этим никто не занимается, вся надежна на то что ваши карающие органы найдут этих идиотов...

Продолжу тему.
Знакомые поймали эту заразу. Они сумели зайти в защищеном режиме с поддержкой сетевый драйверов, так что я смог подключится к ним teamviewer'ом.
В автостарте ничего подозрительного нет, новых файлов *.ехе созданных за последнию неделю нет (за исключением установочного файла скайпа).
В реестре в Winlogon в Shell прописан explorer.exe. Возможно он инфицирован, пытался заменить аналогом со своей системы, нет прав для этого.
Подскажите где еще искать, где эта зараза еще может быть?
Само собой когда чистишь реестр то там видно где эта зараза сидит или в explorer.exe или Shell прописан сам путь к нему, обычно во временных файлах A/D пользываетля. Если используещь загрузочный диск то через DOS его видишь и удаляешь начисто с компа, из корзины долой. Иначе она при загрузке опять лезет в реестр....

к сожалению заражаются и семёрки, конечно в загрузчик там вирус ничего прописать не может, но в пределах пользовательского конто может натворить дел.
в ХП достаточно эффективная мера, которую к сожалению мало кто использует - не лазить в инет из под админского аккоунта.
заразить систему попав уже в корзину ни один троян не сможет, чтобы прописаться в автозагрузку ему надо хоть раз запуститься, поэтому этого бояться пока незачем.
заражение происходит через в дыру в яве, благодаря которой зловред умудяется прописаться в регистр, в ран, а также оставить исполняемый файл в темп папке.
почему она до сих пор не закрыта и для меня загадка.
антивирусы с ним справляются, беда только в том, что сигнатуры обновляются медленнее чем зловреды, т.е. на момент заражения антивирус ещё ничего не знает.

а просто удалить все временны€ файлы из папки темп не помогает?
в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ничего подозрительного нет?
если есть подозрение, что троян переписал системные файлы попросту запустить
sfc /SCANNOW