Приветствую. Windows XP sp3 сборка ZverCD, комп довольно старый.
После очередной лазанья по интернету возник порно-баннер, блокирующий вход в систему пока не отошлешь код по смс (распространенная тема). В результате вход в виндовс не осуществить (и в безопасном режиме тоже), утилиту AVZ не запустить (логи не сделать).
Что делалось:
1) При загрузке с Infra LiveCD с удивлением обнаружил, что в зараженной винде в реестре в ветке с winlogon-ом, shell-ом и userinit - все нормально.... в соседней ветке Windows в поле AppInit_DLLs - пусто, в Image File Execution Options эксплорера нет... в автозагрузке, был один подозрительный файл - todo.exe - убил тут же. Но потом после загрузки с винта, порно-баннер не исчез.
2) В загрузочной винде с сд утилиты CureIt и KAV Removal tool почему дружно запускаться отказались, пришлось вынимать винт и проверять его полностью на другом рабочем компе (этими же утилитами). Они удалили разные файлы в разных местах (в итоге штуки 4), к сожалению названий вирусов не записал (прошу прощения). Порно-баннер ИСЧЕЗ! Но вход в винду ...НЕ ОСУЩЕСТВЛЯЕТСЯ. Сразу после нажатия на значок пользователя в Окне приветствия (а он там только один и есессно это Admin, причем без пароля - комп не мой) идет строчка загрузка системы и тут же сохранение, log off и снова Окно приветствия. Без всяких сообщений.
3) в безопасном режим все тоже самое - в прямом смысле слова!
я думал в этом режиме не будет графического интерфейса (все по минимуму), но во всех разных вариантов загрузок безопасного режима меня встречало все тоже окно приветствия (причем по качеству видеорежим была как при обычной загрузке - то есть 1024х768 32 бит)
оригинально
4) с другого компа с такой же РАБОЧЕЙ осью слил файлы winlogon.exe, userinit.exe, и на всякий пожарный user.dll, explorer.exe и перезаписал поверх их все в незагружаемую винду (включая и в папку system32\dllcache) - не помогло.
5) скачал DrWeb LiveCD, сделал загрузочный сд, но сканер там запускаться отказался БЕЗ ИНТЕРНЕТА, а он у меня на данном компе через usb-модем...
6) помогла только замена файла реестра software таким же из папки windows\repair, винда загрузилась, данные на месте, но ряд программ придется переустанавливать. После запуска уже на этом загрузившемся компе CureIT нашел в C:\System Volume Inforamtion\ вирус Trojan.Siggen3.3728, но почему удалить не смог, смог только KAV Removal Tool (у него этот вирус именовался Trojan-Dropper.Win32.Daws.ab). Но после того, как старый реестр вернул на место - винда по прежнему не может сделать вход...
При окне приветствии комбинация ctrl+alt+delete - не работает, диспетчер не вызвать.
Если какая-либо вероятность восстановление работы старого реестра - или лучше уже работать с repair-овским.
судя по всем работает наверное какой WinLock (или его остатки/последствия) - но вот как его уже убрать не знаю. Заранее спасибо за помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если какая-либо вероятность восстановление работы старого реестра - или лучше уже работать с repair-овским.
У вас же восстановление системы включено - с помощью LiveCD в System Volume Information найдите RP на дату перед возникновением проблемы и в подпапке snapshot возьмите копию нужного файла реестра.
ну что ж....
в ЛЮБОМ СЛУЧАЕ НАРОД ВСЕМ СПАСИБО ЗА ПОДСКАЗКИ!
большинство программ восстановлено (с repair-овским реестром)
данные как говорил уже на месте
комп человеку обратно отдаю
всем всего хорошего!
Уважаемый(ая) golmarco, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от golmarco
