Выглядит вот так
Как правило разблокирется после щелчка по слову "являются" или "корпорации".
Если после щелчка баннер на месте-читаем дальше.
1) При включении машины нажать и держать клавишу F8
2) Выбираем Безопасный режим с поддержкой командной строки.
Нажимаем энтер
3) В консоли вводим regedit.exe
4) В редакторе реестра переходим в ветку
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
5) Шелкаем по ключу Shell правой кнопкой мышки и выбираем Изменить
Теперь выделим имя файла и скопируем, у меня это 6462131.exe
Имя файла может быть разным. Например
321.exe
wpbt0.dll
0.9379675593783018.exe
6) Удаляем ключик Shell
Обязательно запомните путь к трояну
7) Переходим в ветку HKEY_USERS
Щелкаем Правка-Найти
и вставляем имя нашего файла
Нажимаем найти далее
8) Удаляем найденый ключ
Правой кнопкой по Shell - Удалить
9) Закрываем редактор реестра
10) В консоли вводим explorer.exe
11) Запускаем Панель управления
12) Щелкнуть по Свойства папки
Если такого пункта нет, то щелкнуть по Переключиться к классическому виду , а после по Свойства папки
13) Переходим на вкладку Вид и щелкаем по Показать скрытые файлы и папки.
Щелкаем Ок.
14) Теперь в Проводнике ищем наш файл и удаляем
Вот видео, если кому не понятно.
P.S.
Если у Вас ничего не получается, грузитесь с лайфсд или лайфюсб
Dr.Web
http://www.freedrweb.com/livecd/how_it_works/
http://www.freedrweb.com/liveusb/how_it_works/
Kaspersky
http://support.kaspersky.ru/viruses/solutions?qid=208641245
Nod32
http://www.esetnod32.ru/.download/livecd/
162 комментария:
Удалось, спасибо огромное.
мне тоже удалось спасибо только я 14 пункт не смог сделать,у меня этого файла не было там,может испарился куда???
Спасибо. Все получилось. Этот немного попсовый вирусняк. Чаще подобные подменяют собой explorer.exe
не, он сам по себе не испаряется...Если нужно-могу удаленно залезть найти его.
спасибо огромное все получилось!!!!!!!!!!!!!
огромное спасибо автору помогло .а то так не охото винду переустанавливать.
Всё сделал по инструкции, после перезагрузки появился черный экран и после принудительного выключения\включения тот же самый черный экран ((( хелп , очень нужно .
на почту пиши..будем работать
я уже благодарил ранее автора за помощь .банер исчез но проблемы новые появились.1-винда загружается но рабочего стола нет просто заставка.нижней строки там где пуск тоже нет мышка двигается но кнопки не доступны единственная рабочая кнопка -это кнопка вкл-выкл на системнике.1 раз из 5 ти всётаки запустилась но некоторые страницы например яндекс не открываются пишет низкое время отклика-вот прямо сейчас спустя мин 5 система загрузилась.но что то с ней не то!!???что делать дальше?
писать на почту
кажется нашёл решение своей проблемы спасибо тебе и вот этому человеку(олтинбеку) http://otvet.mail.ru/question/65255069/?next=207 всё заработало как раньше комп грузится быстро и страницы стали нормально открываться буду рад если это ещё кому то поможет
Доброго время суток,
подскажите подхватил Trojan.Winlock.5293 на номер 79139513445.
блин, что за житуха пошла на улице подруга в инете на комп. подхватишь бред какой то, но ладно это все лирика, вопрос такой жму на слово «являются» пропадает этот троян но на черном фоне экрана появляется библиотека просит открыть файлы и отсортировать что делать?
С уважением,
Оушен
Оушен на почту пишите
помогло!
Слухай, а я там с перепуга 3 файла странных с числами удалил, ничего не может быть такого? Один точно правильный, а другие не уверен...
Если удаляли в темпе-то все нормально...Папку темп можно вообще полностью зачистить.
Спасибо большое! Все получилось, без особого труда!
Спасибо,ДРУГ!!!Всё четко по инструкции. И что обидно, вляпался на поиске книги по психиатрии.Удачи тебе. Сергей.
Все четко получилось. Много других рекомендаций перепробовал и только ваше помогло. Большое спасибо
Спасибо огромное. Номер был +79878184399, имя файла 329991.exe. После нажатия на слово "являются" баннер исчезает, потом появляется еще раз и так при каждом запуске Windows под той учетной записью, под которой его поймал. Под другой учетной записью с правами администратора все работало без проблем. Все сделал по инструкции, файл нашелся не в директории temp, а в другой. Еще раз огромное спасибо.
Спасибо! было бы неплохо на 7 подсказку...
Зачёт автору статьи
Спасибо Автору огромное
а у меня нету в папке Winlogоn ключа Shell((
что делать?
Щелкните правой кнопкой мыши-экспортировать..и пришлите мне файлик, который сохранится на почту
О,супер! У меня все получилось, спасибо огромное за такое подробное описание, как раз для таких чайников как я!!!
Спасибо! Все подробно! Своевременно!
Хорошо что вы есть!!!!)))))))))))))))
Всё по инструкции сделала, всё сработало, спасибо огромное! А то я уж думала, придётся мастера вызывать...
Народ, номера этих телефонов передавайте МТС, они их блокируют и передают дело в полицию.
спасибо огромное,всё заработало!!!!
Спасибо все получилось
Если у меня нет файла shell, что делась?
запустить msconfig и посмотреть на вкладке автозагрузка есть ли там wpbt0.dll
спасибо огромное все получилось!!!!!!!!!!!!!
Спасибо большое!!! Все получилось. Дай Бог тебе здоровья!!!
такая же проблема,нету файла Shell, мб случайно удолил когда лазил в tepm помоему , сделал как выше написано посмотреть в автозагрузках wpbt0.dll такой загрузки я тоже не нашёл....
здравствуйте! Помогите плиз работу надо до завтра сделать! Я начала все делать как вы здесь описываете, но файла shell у меня нет, а где запустить msconfig я не понимаю, можно подробнее как для чайника объяснить. Спасибо заранее!!!!
Пуск-Выполнить
ввести msconfig и нажать энтер
Перейти на вкладку Автозагрузка.
Написать что там есть?
У меня нет такого Document and setting да и впринципе не могу этот вирус найти, 14 й пункт не могу выполнить, помогите пожалуйста.
тогда у вас должно быть C:\Users
Всё получилось!!!!! Огромное вам человеческое спасибо, выручили нереально. Есть ещё добрые люди на земле...
Нужно ли в обязательном порядке после того как после нажатия слово "являются" табличка с рабочего стола пропала (произошла разблокировка Windows) - дополнительно чистить реестр вручную, по вашей инструкции?
Спасибо огромное все получилось!!!!!
Спасибо!Написано всё доходчиво.
Ползал по всяким каспрерам,докторам...везде куда-то
посылают.
Узнал одно,номер +7987346973 не Россия.
Мой файл ____991.exe.
В безопосном режиме удалил все Shell.
словил сномером телефона 79133913322
Благодарность в приказе автору!
Файл был wpbt0.dll, номер 79879406697
Спасиб тебе, добрый человек! Спас. В реестрах ни-фига не понимаю, а по описанию - все быстро и четко. Отличная работа.
Благодарю от всей души. Судя по отзывам помогает во всех случаях. Мне тоже помогло. Автору огромный респект.
А у меня он не находится чтобы удалится...!?
14 пункт выполнить не получается!
натравите свежий куреит или каспера авптул.
У меня такая же проблема с этим вирусом, но я смогу его закрыть и когда искал его с помощью AVZ уже нормально - он там не нашелся но в процессе пиоиска его нашел Avira Antivirus и я несомненно все удалил сразу все файлы связанные с ним ( 321.exe ) но баннер остался и других файлов не находил, в компьютере нет файла в поиске ни одного как в списке, в реесторе ничего такого нет - шел нормыльный и пр. Помогите...
еще раз проделала - 321 экс нет а 911 нашелся - все удалил - надеюсь перезагружусь и норм) Спасибо!)
для всех
http://mrbelyash.blogspot.com/2012/01/blog-post_27.html
+79874404066 У кого такой нмер.слово является не реагирует!!!Подскажите плиз artswet@gmail.com
Спасибо автору за статью
(пункт 14 не удался, но вируса вроде нет)
спасибо, очень помог)
Автору большое спасибо)Помогло)
Большое Вам человеческое спасибо от неуверенного пользователя, подхватила трояна благодаря вашим рекомендациям у нас ВСЕ получилось УРААААААААА
От души братуха!!!=)
Спасибо огромное!!!
удалил файл wpbt0.dll находился С:\Temp\
и все )
Спасибо!!!!
Сделал всё по инструкции - всё получилось!
я дошла до 4 пункта но не нашла ключ Shell его там нет что делать помогите пожалуйста при каждом включении компьютера появляется баннер и уход после того как 2 раза щелкну по слову является
на почту пишите
спасибо чувак, ты ЛЕВ, я на рабочем компе такую хрень цепанул, думал хана мне, там материалы секретные есть, помогло после твоего совета, я уж вешаться хотел)))
спасибо ,
работает - реально
СПАСИБО,БОЛЬШОЕ!!!!
Очень выручил!!!
А у меня не получается ((( перетыкал все слова , номер +79874404028 просят 500р. Самое интересное, что грузил файл с депозита, и не успев загрузиться вылезла эта бяка. Хотя до этого лишних тыков не делал. Я понимаю что могу удалить, но блин, никак не желательно комп перезагружать, там несколько серверов работают ((( untercop@mail.ru
mrbelyash, спасибо тебе огромное!!!! Провозилась почти сутки. Пишу диплом по срокам не успеваю....столько времени потеряла с загрузками с CD Live антивирусников...ничего не помогло кроме этого поста.
Доброго времени..
По глупости дал юзеру девушки права админа.. и вчера вылез етот винлол. Интересно то что второго юзера админа он не тронул, лечение заняло 2мин, спасибо за путь в реестре!
Спасибо большое за сэкономленное время!
И от меня величайшее спасибо! Касперские и дрВебы не помогли (хотя нет, не совсем так: ДрВеб помог определить номер версии - и вот я здесь), а ваши инструкции сработали на ура и с первого раза. Только на шаге 8 имя файлика у меня было не шелл, а 321.ехе. Его и снесла.
Так мы и есть дрвебы....хелперы Dr.Web ;)
Спасибо огромное![HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] здесь вирус не нашла как здесь писали,\Software\Microsoft\Windows\CurrentVersion\Run]-вот здесь прятался
![HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] здесь у меня всё в порядке где искать ?
Пуск-Выполнить-msconfig-Автозагрузка
Спасибо!!!!!!!!!!!Пошаговая инструкция даже для меня чайника спасла столько крови!!!!!(всё вылечилось)
Спасибо Автору !!!
Все ОК.
Проблема таже! а что искать в Автозагрузке?
номер 89133914488 просят 1000 )))
Проблема таже! А что надо искать в автозагрузке?
БольшОе спасибо!!! очень помог!
не много не по инструкции видно более новая хрень, но принцип понял и нарыл гада!
\Software\Microsoft\Windows\CurrentVersion\Run] -вот здесь был.
просил на номер 89133914488.
Спасибо офффффигенский способ....кучу попробывал не чего не помогало...это способ помог
Словил этого гада. пошел по вашей инструкции.Удалил shell.путь трояна был такой c:\users\1\appdata\local\microsoft\windows\temporary internet files\content.IE5\19RCE3YD\Files_load1(1)
Пошел дальше по инструкции.По пути хранения файла дошел до Windows а дольше таких папок нет.Перезапустил пк. Винда выдала сообщение что файл,путь указан выше,пытается запуститься Разрешить или нет.Снова попытался пройти по этому пути.И снова имею пол пути.Потом полез в паку windows temp.Выделил все файлы и нажал удалить. Один файл остался.При попытке удалить пишет что такого файла не найдено.И тут я заметил что этот файл меняет свое имя каждую секунду.Но мне его все таки удалось удалить(наверно успел в 1 сек уложиться).Сейчас попробую cureit(ом)найти и удалить тело.Вот такой косяк у меня с этим трояном.
спасибо дорогой ДРУГ!Все получилось!)))Урааа))))
Спасибо от молодой пары. Всё работает на ура
Привет всем !пожалуйста ко не будь помогите мне включаю ПК пишет ваш пк заблокирован за просмотр вам не обходимо платит штраф 500 рублей счет абонента МТС 89874113179
ИИИИИИ-ххаааааа!!!! спасибо большое,завтра мне за разблокировку 350 руб заплатят!))))) У меня только в папке Run были файлы не с названием Shell, а вот такого типа s110172124 и их было аж 13 штук!!! Всех безпощадно порешал и через тотал немного притормазил когда искал,а оказалось вон что: путь к Shell C:\Users\9EB4~1\App Data\Local\Temp\(ключ), искал-искал,ни как не мог найти.А оказалось 9EB4~1 это имя профиля Сабина. Вставил имя и нашёл этого червяка)))
Огромное спасибо! Вы гений!
сам бы в жизни не допер . автору почет и уважение.
Помогите пожалуйста,не знаю как разблокировать,пишет отправить 1000 рублей на номер +79876528713
помогите плз пункт 7 и пункт 8 не находит файлик shell что делать?
зачиститапку Temp и темп браузера
в редакторе реестра запустите поиск ключа Shell
нашлась папка shell но в ней нет этого файла
снова нажимайте F3
Я благодарен вам за помощь.
Я счаслив знать что помощь существует без корысти.
Ваши труды не будут мною позабыты,
Да что там, многих вы спасли.
просто огромное спасибо за информацию, даже не простое а огромное спасибо))
Спасибо, что так доступно объяснили, но вот с поиском этого вируса у меня проблема, я тщательно записала его "путь", но папки такой не нашла, путь оборвался после Windows, там дальше идет Temporary Internet Files и непонятно где мне эту каку искать..(( Поиск ничего не дает, к тому же вирус заблокировал перевод в английский и могу использовать только русский, а на русском хочется писать только отборный мат в адрес вирусных дел мастеров. Посоветуйте что-нибудь, о доблестные антивирусные рыцари!!!
Вам нужно включить отображение "скрытых" файлов.
В принципе могу удаленно к вам залезть и почистить.
Ооо, нашла!!! Оказался в Temp!)) И я его раздавила, как таракана, гыыыы!))) Спасибо большое, думала у меня ничего не получится, но действительно очень доступно объяснили)) Единственный раз споткнулась на "удалении ключика", не могла въехать почему стрелка показывает и на "shell "и на "run" и на нижнюю строку. Долго сомневалась удалять ли мне "shell", ибо мне казалось, что после этого разверзятся хляби небесные и комп взорвется, но все обошлось)) Вы просто чудо, mrbelyash, целую вас в щечку!))
Блин, в поиск ввели shell нашлось много, но не в папке винлогон.выбрать любую папку шелл???
Какое счастье, что есть вы! ))) Спасибо!) Огромное!!!
Спасибо! Другу помог с Виндой.
Я f8 нажимаю, он не запускается в безопасном режиме, че делать. если f9 че-то вылазит, но нето(((((((((((
немного не понял...После нажатия F8 появляется меню с выбором безопасных режимов?
После включения машины нужно нажать несколько раз быстро..пока не появится меню
спасибо приогромнейшее!!!!!)))
Спасибо, помогло но через некоторое время появился другой файл. Что необходимо сделать чтоб проблема не повторилась?
Плохо, что не смогла раньше прочитать эту инструкцию. Снесла винду. Скажите пожалуйста вирус остался или при перестановки удалился? Искала в автозагрузке нет, удалила все темпы. Как проверить остался ли вирус на компьютере?
после переустановки его уже точно нет
Автор, я бы тебя сейчас всего расцеловала. Было обидно аж до слез,думала,безвыходная ситуация. Спасибо такому доброму человеку,который готов помогать простым чайникам!Это подвиг!
Огромное Вам спасибо
Приогромнейшее спасибо за предоставленную информацию. Вы просто меня спасли!!! На днях нужно сдавать курсовую работу которая очень важна, а тут этот вирус... Благодарю вас! :-)
Здравствуйте! А как быть, если при безопасном режиме мелькает синий экран?
в пункте 5 показывает имя файла "ms.exe", в пункте 7 при поиске данного имени не находит ключ shell. что делать?
ms.exe-это он и есть..троян
спасибо огромное
Большое спасибо, цены вам нет!
спасибо огромное за ценнейшую информацию!!!!! помогло уже трижды!
огромное спасибо.помогло)))
Все отлично получилось! Спасибо человеку написавшим это. Доброе дело делаешь
все как написано сделал, даже несколько раз, но все равно эта зараза где то сидит, так как теперь я эту картинку невижу, но виндовс предупреждает, что эта зараза хочет запуститься, я нажимаю отмена и все нормально, но уж хочется до конца ее убить
могу удаленно залезть и почистить..пишите на почту
Автор, помоги плиз. Такая же как на втором скрине сверху гадость у сына компе. Переустановку в лом ,кликанье по нулям. Номера при каждой загрузке меняются 89879025104 и 89874324549. помоги пож-та.
Спасибо огромное,только этот способ помог)))
помогите найти код на номер 380981256650
помогите найти код на номер 380981256650
Огромное спасибо. Я в компьютерах ЧАЙНИК, но даже мне помогло)))
Спасибо вам огромное! Ничего не помогало,а ваш рецепт волшебный спас
Помогите пожалуйста. В папке windowsNT отсутствует Shell, а Автозагрузке нет параметра wpbt0.dll
Как быть?
вы можете экспортировать реестр?
Здравствуйте. Попробовал делать всё, как написано, но накосячил, т.к. в пункте 6. написано: Удаляем ключик Shell, что я и сделал сразу))), а потом читаю ниже:Обязательно запомните путь к трояну (а я не запомнил). Попробовал перезагрузить и начать сначала, но всё пропало безвозвратно. И само имя файла-вируса из памяти компа тоже(((. Можно сейчас это исправить???
А в shell пропишите explorer.exe
кое-как должно загрузиться
Спасибо, попробую сейчас)))
Не помогло((( Или я не так что-то делал(((
mrbelyash, добрый день! На пункте 8 вашей инструкции у меня после поиска вышло не один а 10 файлов с одинаковым значением вируса (ms.exe), но разным именем:(S1218393, S14187102, S14470161 и другие), но все - ms.exe. Их все удалять, или только тот который выделен синим цветом после поиска?
да, их все удалять.это он так много прописывается
Спасибо! Всё получилось! Отличный сайт, буду друзьям рекомендовать))))
Спасибо. Все получилось. Ваш сайат очень помог. Моя почта moryak46115@ya.ru
Что бы люди знали, что я не фэйк.
Присоединяюсь ко всем!!!Спасибо от души!!!!
а у меня windows7 и нет безапасного режима что делать?
а где он у вас делся?
У всех есть ;)
хз нажимаю F8 там чтото открываеться но всего 2строки и все обепробовал ниче не дает
хз...ну то напишите что там показуется
please select boot device:M
HDD:3M-HITACHI HDS721050CLA362
CDROM:3S-OPTIARC DVD RW AD-5260
CDROM:3S-OPTIARC DVD RW AD-5260
это вестимо сд двд диск с доктором или каспером
please select boot device:
hdd:3m-hitachi hds721050cla362
cdrom:3s-optiarc dvd rw ad-6260
на почту пиши япона мать
Автору респект! Очень помогло!!! И в правду говорят: Всё гениальное - просто.
Спасибо большое! Все понятно и просто написано!
Помогите, у меня этот вирус второй раз(.• Первый раз делала все как написано выше...все получилось!А теперь не могу найти Shel. Что делать?
Добрый день! Подскажите что делать, если винда коммандную строку на поддерживает, а загрузку с юэсби вирус блокирует????
Помогите!!! Вирус все блокирует: и поддержку комендной строки в Б.Р. и загрузку с USB??? телефоны на которые просят положить денег при перезагрузке меняются с +79198017707 на +79171658314.
после открыия shell в графе значения стоит только 1 что делать ?????????????плиз
Уууф, спасибо!!!помогло!!!
Да наверное большенству людей помагает! :)
А мне нет. :(
У меня вылиз бан странный
телефона не дает дает киви и веб кошельки. в папке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon увы нет ни каких шелов идругих файлов
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Выскочил банер. Просит деньги на номер +79878693715. В безопасном режиме ни в каком не запускается, с диска тоже не грузит.Как быть?Где взять код разблокировки?
на почту пишите разберемся
спасибо,помогло. респект автору
Спасибо, всё получилось. Очень благодарен
Огромное спасибо! Все очень доходчиво и понятно. Ноут ре а ним провал, еще раз спасибо
Пасибо большое ^^
Спасибо огромное!!!! Хорошо что есть люди!!!!!
Найс! Спасибо ))
Да автор маладец!!!!!!!!!!Спасибо большое!!!!! Правда файл под другим именем бил
Выражаю и свою благодарность! Очень помогла статья, спасибо!
Добрый день!!!! Не работает в безопасном режиме.Помогите что дальше делать????
Отправить комментарий