Printable View
Поймал баннер, пробовал удалить по рекомендациям с соседних тем, без результатно. В реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- userinit и shell все чисто. Зашел через ЕRD сделал логи- прилагаю. Надеюсь на вашу помощь
Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
[CODE]<диск с заблокированой ОС>:\WINDOWS\System32\config[/CODE]
Затем сообщите :
В ключе
[CODE]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
значение параметра
[CODE]Userinit[/CODE]
и значение параметра
[CODE]Shell[/CODE]
C:\WINDOWS\system32\userinit.exe,
Shell-explorer.exe
Сообщите все параметры и их значения из этого ключа.
[CODE]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[/CODE]
отправил
А здесь какие параметры?
[CODE]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[/CODE]
вот
Удалите параметр из ключа реестра
[CODE]userini[/CODE]
и попытайтесь загрузится в нормальном режиме.
В этой ветке--HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ?????????
Да.
удалил раздел но банер остался
не раздел параметр
Понятно, у Вас MBRLock.
Попробуйте этот код:
[CODE]4011894[/CODE]
Этот не подходит я с dr web все ключи перепробовал. Заметил что после набора шестого знака следующие меняют цвет.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
помог перевод системной даты на два года вперёд щас логи сделаю и выложу посмотрите пожалуста:094:
логи сделал но без подключения к инету
Чтобы удалить MBRLock, нужно загрузиться с установочного диска Windows XP, войти в консоль восстановления и выполнить команды:
[CODE]fixmbr
fixboot c:
exit
[/CODE]
После этого можете выставить правильную дату.
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O1 - Hosts: 89.187.51.9 vkontakte.ru
O1 - Hosts: 89.187.51.9 www.vkontakte.ru
O1 - Hosts: 89.187.51.9 www.odnoklassniki.ru
O1 - Hosts: 89.187.51.9 odnoklassniki.ru
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(20);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
новые логи
Чисто.
Всем огромное спасибо за участие!!!!!!!!!!!!!!!!:)