Drh shellblocker corrupted что это
обнаружены вирусы shellblocker.corrupted, как вылечить
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Возможно DRH: LSPChanger.corrupted Возможно DRH: UserInitBlocker.corrupted
При проверки ноутбука с помощью drweb-livedisk-900-usb обнаружились следующие угрозы( далее см.фото)
Д.Веб Curelt!, при запуске утилиты в безопасном режиме.
Скрины не важные, прошу прощения.но разглядеть можно.
Продублирую что там:
Угроза—-Возможно DRH: LSPChanger.corrupted
Угроза—- Возможно DRH: LSPChanger.corrupted
3.Объект—- Winlogon, Userinit
Угроза—-Возможно DRH: UserInitBlocker.corrupted
Путь—— HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Userinit
Что за зверюшки тут.
Понимаю что если обезврежу, как предлагается, то система не загрузиться.
Еще при запуске от админа HijackThis, Д.Веб спросил разрешить ли процессу HijackThis.ехе модифицировать файл hosts.
Второй раз запретил, hosts остался невредимый.
и не могу что то лог HijackThis? в тему загрузить
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Угроза. Возможно DRH:UserInitBlocker.corrupted
Нет, не ложное. В 64-битных системах такого параметра (Userinit) по такому пути нет. А у вас какие значения?
Да, система 64-bit. В моем случае реестр выглядит так:
regedit.png 39,62К 0 Скачано раз
Вроде бы ничего подозрительного в реестре нет. Я в этом мало что понимаю. Может ли зараза прятаться (не отображаться) при запуске редактора реестра?
Сейчас заново скачал Media Creation Tools с сайта Microsoft, проверил его на Virustotal. Файл чист. С помощью Media Creation Tools заново скачал образ Windows, заново записал этот образ на диск. Сейчас переустановлю систему и попробую заново запустить проверку системного раздела.
Итак. Переустановил Windows начисто. Сразу после установки системы запустил проверку системного раздела с помощью Dr.Web LiveDisk. Через пару минут после начала проверки Dr.Web CureIt, как и раньше, выдал вердикт: Угроза. Возможно DRH:UserInitBlocker.corrupted. Путь: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit.
Windows была абсолютно чистая. После установки системы никаких программ не устанавливал. Систему не обновлял. Никаких настроек, в системе, не менял. Интернет не подключал.
P.S. Реестр выглядит так же как и в предыдущем моем сообщении.
Возможно DRH: LSPChanger.corrupted Возможно DRH: UserInitBlocker.corrupted
При проверки ноутбука с помощью drweb-livedisk-900-usb обнаружились следующие угрозы( далее см.фото)
Д.Веб Curelt!, при запуске утилиты в безопасном режиме.
Скрины не важные, прошу прощения.но разглядеть можно.
Продублирую что там:
Угроза—-Возможно DRH: LSPChanger.corrupted
Угроза—- Возможно DRH: LSPChanger.corrupted
3.Объект—- Winlogon, Userinit
Угроза—-Возможно DRH: UserInitBlocker.corrupted
Путь—— HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Userinit
Что за зверюшки тут.
Понимаю что если обезврежу, как предлагается, то система не загрузиться.
Еще при запуске от админа HijackThis, Д.Веб спросил разрешить ли процессу HijackThis.ехе модифицировать файл hosts.
Второй раз запретил, hosts остался невредимый.
и не могу что то лог HijackThis? в тему загрузить
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Здравствуйте, уважаемые специалисты!
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее: