Свежий вирус

Спонсор недели - биржа быстрых ссылок Кацапа - лучший инструмент наращивания ссылочной массы

Пару дней назад столкнулся со свежим вирусом, и даже нашел способ лечения, а сейчас  хочу поделиться информацией по этому поводу, надеюсь вам это пригодится.

Собственно началось все с того, что любимый браузер FireFox начал постоянно выдавать ошибку при запуске и пытался отправить сообщение о крушении. При каждом запуске.

Естественно, первым делом я его переустановил, но проку от этого - никакого. Ошибка продолжала появляться. Попробовал запустить Internet Explorer - у него никаких проблем с запуском не обнаружилось.  заодно обнаружил, что иконка Nod32 из панели инструментов куда-то испарилась. Естественно созрел вывод, что где-то в сети я всё таки умудрился подцепить какую-то заразу.

Отталкиваясь  от ранее приобретенного опыта попробовал скачать свежую версию DrWeb CureIt!, однако оказалось что несмотря на то что Internet Explorer исправно открывает Твитер и Яндекс - страницу Dr.Web открывать отказался.  Хорошо, что под боком присутствовал еще один компьютер, с помощью которого CureIt был успешно скачан и впоследствии запущен на "зараженной машине". (Как оказалось - зря).

После пары часов проверки программка успешно завершила свою работу. Радостно сообщила что вирусов не обнаружено, чем, мягко говоря меня разочаровала. Уверенность в том что комп заражен имелась нешуточная.

И тут созрела мысль, которая и оказалась самой верной. В последнее время я очень часто сталкиваюсь с компьютерами, пользователи которых имели счастье заносить на них "смс-блокеров" и технология их лечения сводилась к двум простым колдунским действиям в реестре.

Итак, если у вас похожие симптомы, а именно

  • FireFox при запуске выдает ошибку
  • Антивирусная программа (Nod32) перестает функционировать
  • Не открывается сайт drweb.ru
Совершаем следующие действия
  • запускаем regedit (пуск - выполнить - regedit)
  • Находим ветку  : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Внимательно смотрим параметр Userinit. Там должна быть только одна запись - C:\WINDOWS\system32\userinit.exe. Если после нее стоит запятая, то принимайте поздравления - это и есть наш "гад". Так вот, запоминаем адреса, прописанные после запятой, они могут выглядеть так - C:\WINDOWS\system32\3abcde04.exe
  • Сворачиваем реестр - открываем любой файловый менеджер (Far / Total Commander  / Проводник) и удаляем  насмерть (комбинацией клавиш shift+del) файлы, пути к которым мы запомнили в реестре (3abcde04.exe)
  • Возвращаемся в реестр, удаляем лишние файлы из параметра Userinit (должен остаться один  C:\WINDOWS\system32\userinit.exe).
  • Перезагружаем компьютер.
В результате все должно заработать :-) Найдено в сети:

  • Light Wright - фотостудия Акима Лакеева. Не только качественная фотосьемка, но еще и фотошкола.Если интересно - спешите записаться.
  • Продвинутая логистика - спутниковый мониторинг транспорта - очередное торжество технологий.


  • 57 комментариев to “Свежий вирус”

    1. John  on Март 25th, 2012

      Тоже самое всё нашол путь C:\WINDOWS\system32\userinit.exe, в конце запятая но после неё ничего нет что тогда искать ?

    2. Михаил  on Март 25th, 2012

      искать…. свежий cure it от dr.web

    3. Rafl  on Май 18th, 2012

      Запятая после userinit.exe должна быть обязательно.
      После запятой ничего не должно быть.

    4. Миха  on Июнь 12th, 2012

      А если после запятой ничего нет, а окно с ошибкой вылазиет, что делать?

    5. Михаил  on Июнь 13th, 2012

      Миха, перестановка софта помогает иногда

    6. Анастасия  on Октябрь 15th, 2012

      у меня почти та же проблема,вы не могли бы помочь?я пользуюсь хромом .при каждом входе в виндовс выходит ошибка,о невозможности совершения каких-то действий(причем не написано каких)в следствии этого удалятся все сохраненные закладки страницы и программы установленные в браузере, и так каждый раз,я пробовала запускать нод ,он выдает,что заражений нет!что делать понятия не имею( и пыталась переустанавливать,все бес толку помогите пожалуйста

    7. e. right  on Март 20th, 2013

      огромное спасибо за описание!!!
      все получилось
      хотя кроме запятой никаких записей в реестре по указанному пути не было


    Leave a Reply