Просто информация как я удалил порнобанер, может кому-нибудь поможет

**Boooo** · 15.09.2011, 00:42

Здравствуйте
Предистория. Жена в субботу-10.09.2011 при просмотре видео файлов в контакте, поймала<br>порнобанер (банер выглядит как из под винды но на нем статья УК, телефон билайна и Сумма 500р). Эта зараза ничего не дает делать, ни реестр. ни деспетчер и ни чего.
Снести систему - вечер покопаться, но ломает. На работе;покопался;в инете и узнал что можно удалить банер из под LiveCD. Достал этот диск (стой виндой что у меня ХР sp3, это важно), загрузил (включил загрузку c CD привода первым в BIOSе\вставил диск\Винда с CD загрузилась, вошел в REGEDIT (Загрузился реестр LiveCD диска, для того чтобы отредактировать реестр моей винды, я загрузил так называемый куст (курсором пометил НКЕУ_L_M\не снимая выделения,зашел в файл там же, нажал загрузить куст(выскочило окно), выбрал C:\WINDOWS\system32\config и выбрл файл "software", выскочило окно где нужно вбить название ветви (любое, я выбрал qwer), загрузилась ветка моего реестра.
В реестре посмотрел ветки (ссылка "http://my.mail.ru/community/compi/6F66E75885FE8DCC.html" откуда я узнал какие ветки мне нужны, а нужны:
1. HKEY_LOCALE_MACHINE\qwer\Microsoft\Windows NT\CurrentVersion\Windows - AppInit_DLLs- тут не должно быть ничего. Абсолютно. Если что-то есть, удаляем.
2. HKCU\qwer\Microsoft\Windows\CurrentVersion\Run;- ищем ненужные строки и удаляем.
3. HKEY_LOCAL_MACHINE\ qwer\Microsoft\Windows NT\CurrentVersion\Winlogo- параметр Shell должен содержать только Explorer.exe
4.HKEY_LOCAL_MACHINE\qwer \Microsoft\Windows NT\CurrentVersion\Winlogon- параметр Userinit должен содержать только - C:\WINDOWS\system32\userinit.exe
Когда почистил реестр как было сказано в ссылке. выгрузил куст (выделил курсором qwer\файл\выгрузить куст\ .Главное- после того как почистите реестр не перезагружайтесь, а выполните поиск на С:\ - ваш системный диск, на все не давние загруженные файлы (с даты заражения) с расширением *ехе, а также на измененне файлы (с даты заражения). Все файлы удалить, т.к. у меня был банер - 22СС6С32.ехе и эта СУ....КА заменила системные файлы - userinit.exe на свои файлы и их я не заметил этого (заметил только по дате загрузки и изменению), но если вы удалите userinit.exe то не будет загрузки, и это я обошел (выше я говорил что я достал LiveCD со своей виндой, так вот, в этом загрузочном диске я нашел файл - userinit.exe и заменил зараженный на его-просто скопировал туда откуда удалил. Также почистил все временные хранилища ТЕМР и т.д. и перезагрузился, Моя родная винда работает.
Если эта тема нарушает правила этого форума или кого-либо права и админы удалят это сообщение без комментарий, то без обид, просто хотел помочь кто попал в беду.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: