Как избавиться от банера просящего положить 380р на номер 89652648288, номера активации не с сайта касперского не с сайта Drweb не подходят. windows заблокирован, безопасный не работает. livecd drweb ничего не нашел.
Printable View
Как избавиться от банера просящего положить 380р на номер 89652648288, номера активации не с сайта касперского не с сайта Drweb не подходят. windows заблокирован, безопасный не работает. livecd drweb ничего не нашел.
1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. [B]Пуск - Выполнить - erdregedit[/B]
3. Посмотрите в реестре:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
[B]параметр[/B]
[CODE]userinit[/CODE][B]параметр[/B]
[CODE]shell[/CODE]Содержимое этих параметров напишите в своем сообщении
shell ...\Рабочий стол\новая папка\xxx-1345.exe
userinit c:\WINDOWS\system32\userinit.exe,c:\WINDOWS\sorry.exe
изменил на Explorer.exe и удалил sorry.exe
баннер исчез.
при загрузке в без. режиме синий экран.
походу есть еше вирусы.
Пофиксите в hijackthis:
[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%USERPROFILE%\Рабочий стол\новая папка\xxx-1345.exe','');
DeleteFile('%USERPROFILE%\Рабочий стол\новая папка\xxx-1345.exe');
QuarantineFile('c:\WINDOWS\sorry.exe','');
DeleteFile('c:\WINDOWS\sorry.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)