Printable View
Здравствуйте, Проблема с таким баннером. В автозагрузке его нет. Антивирусы в live cd его не находят, avz и avp tool тоже его не находят. Блокирует все, но путем некоторых манипуляций удается запустить диспетчер задач и даже выполнить explprer.exe, но не надолго банер появляется через 3-5 сек. к этому баннеру код не подбирается
Уважаемый(ая) [B]Titov[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Дело происходит на нетбуке, интернета на нем нет. Использую здоровый комп
Логи с LiveCD бесполезны
Картинку блокировщика сфотографируйте, выложите на обменник и пришлите ссылку
Пока ждал ответа, попробовал с live cd программу TrojanRemover. во вложениях фото, на что он поругался. Потом попросил перезагрузки. Перезагрузил. Сам баннер как таковой не показывается, но нет и рабочего стола, просто фоновая картинка. теперь даже диспетчер не открывается.
Сам баннер точно такой же, только номер билайна другой:
[url]http://yes73.ru/download/download.php?file=b108d1ca04ae936e7b34971efa2f9ab7[/url]
А вот то, на что ругался TR:
[url]http://yes73.ru/download/download.php?file=2c1791ce0d09804ec56ddb54f9a1e6c2[/url]
[url]http://yes73.ru/download/download.php?file=269babfea272ab7656c58ca030d1b986[/url]
1. Скачайте на компьютере, [B]с которого сейчас пишете[/B], образ [B]ERD Commander[/B] (для Windows XP – [B]версия 2005 (5.0)[/B], для Vista – [B]версия 2007 (6.0)[/B], для Windows 7 – [B]версия 2009 (6.5)[/B]), запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
Значения этих параметров напишите в своем сообщении
erd 2005 есть в том live cd. параметр shell: EXPLORER.EXE параметр userinit: userinit
Здравствуйте!
[QUOTE='Titov;795462']параметр userinit: userinit [/QUOTE]
Пожалуйста, напишите подробнее - значение параметра именно такое?
именно такие...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
возможно это из-за того что я загрузился с live cd? И причем когда их меняешь, после перезагрузки они снова как были
[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]
Прошу прощения, но я кажется запутался... Сделал еще один ERD (он уже один, без лайв сд) так этот редактор реестра показывает следующее:
shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,
[size="1"][color="#666686"][B][I]Добавлено через 19 секунд[/I][/B][/color][/size]
Прошу прощения, но я кажется запутался... Сделал еще один ERD (он уже один, без лайв сд) так этот редактор реестра показывает следующее:
shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,
[QUOTE='Titov;795466']shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,[/QUOTE]
Это явно параметры от LiveCD.
[URL="http://virusinfo.info/showthread.php?t=72176"]Подгрузите куст SOFTWARE[/URL] (Откройте редактор реестра, File->Load Hive (Файл->Загрузить куст)) из папки
[CODE]<диск с заблокированой ОС>:\WINDOWS\System32\config[/CODE]
Затем сообщите значение параметров, которые даны в посте от [B]thyrex[/B] выше.
брррррр.... я понятия не имею че за реестры он тут мне показывает... они везде разные((( после перезагрузки все остаются такие какие были, как будто ничего не менял
Нажмите на ссылку "Подгрузите куст SOFTWARE" - там все подробно описано, со скриншотами.
тааааак... куст загрузил shell: explorer.exe
userinit: C:\windows\system32\drivers\system32.exe
О, теперь нашли зловреда.
Измените значение параметра
[CODE]Userinit[/CODE]
на
[CODE]C:\WINDOWS\system32\userinit.exe,[/CODE]
И попытайтесь загрузится с блокированной системы.
загрузились. Выдал ошибку: Windows не удалось найти С:\documents and settings\1\application data\simply super software\trojan remover\rmvtrjan.exe Проверьте правильность... бла бла..
[size="1"][color="#666686"][B][I]Добавлено через 51 секунду[/I][/B][/color][/size]
АААААААААААА... золотые вы мои.... загрузился!!!!!!
В системе можно работать? Полностью загрузилась?
Если да, то делайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL].
вот логи... 20минут делал(((
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\config\svchost.exe','');
DeleteFile('C:\Program Files\VPets\VPets.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
DeleteFile('C:\WINDOWS\system32\config\svchost.exe');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
DeleteFileMask('C:\VPets', '*.*', true);
DeleteDirectory('C:\VPets');
DeleteFileMask('D:\VPets', '*.*', true);
DeleteDirectory('D:\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи