Не могу удалить баннер

[buza45]

Поймал баннер, пробовал удалить по рекомендациям с соседних тем, без результатно. В реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- userinit и shell все чисто. Зашел через ЕRD сделал логи- прилагаю. Надеюсь на вашу помощь

[Acidorum]

Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки

Код:

<диск с заблокированой ОС>:\WINDOWS\System32\config

Затем сообщите :
В ключе

Код:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

значение параметра

Код:

Userinit

и значение параметра

Код:

Shell

[buza45]

C:\WINDOWS\system32\userinit.exe,
Shell-explorer.exe

[Acidorum]

Сообщите все параметры и их значения из этого ключа.

Код:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

[buza45]

отправил

[Acidorum]

А здесь какие параметры?

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[buza45]

вот

[Acidorum]

Удалите параметр из ключа реестра

Код:

userini

и попытайтесь загрузится в нормальном режиме.

[buza45]

В этой ветке--HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run ?????????

[Acidorum]

Да.

[buza45]

удалил раздел но банер остался

[buza45]

не раздел параметр

[Acidorum]

Понятно, у Вас MBRLock.
Попробуйте этот код:

Код:

4011894

[buza45]

Этот не подходит я с dr web все ключи перепробовал. Заметил что после набора шестого знака следующие меняют цвет.

Добавлено через 6 минут

помог перевод системной даты на два года вперёд щас логи сделаю и выложу посмотрите пожалуста

[buza45]

логи сделал но без подключения к инету

[Bratez]

Чтобы удалить MBRLock, нужно загрузиться с установочного диска Windows XP, войти в консоль восстановления и выполнить команды:

Код:

fixmbr
fixboot c:
exit

После этого можете выставить правильную дату.
Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O1 - Hosts: 89.187.51.9 vkontakte.ru
O1 - Hosts: 89.187.51.9 www.vkontakte.ru
O1 - Hosts: 89.187.51.9 www.odnoklassniki.ru
O1 - Hosts: 89.187.51.9 odnoklassniki.ru
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[buza45]

новые логи

[Bratez]

Чисто.

[buza45]

Всем огромное спасибо за участие!!!!!!!!!!!!!!!!