Посмотрите пожалуйста.
Printable View
Посмотрите пожалуйста.
Никаких следов вымогателя не видно
Пофиксите в HiJack
[CODE]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru[/CODE]
Это и странно. Подключал диск к другому компьютеру с касперским. Вообще ничего не нашел, даже простенького трояна. Однако при попытке загрузиться снова банер - отправьте текст id90597550 на 1053 или (второй не помню). Загрузился в безопасном режиме с командной строкой. Запустил AVZ восстановил параметры проводника.
Сейчас логи делали на проблемной машине или с подключением к другому компьютеру?
[QUOTE='alivan;681491']Загрузился в безопасном режиме с командной строкой. Запустил AVZ восстановил параметры проводника.[/QUOTE]Ключ запуска Проводника?
[QUOTE]Сейчас логи делали на проблемной машине или с подключением к другому компьютеру?[/QUOTE]
Да на проблемной.
[QUOTE]Ключ запуска Проводника?[/QUOTE]
В том числе.
Меняли ключ запуска Проводника после создания логов или до?
До создания. Иначе я бы их не создал. Блокировалось все.
Тогда мы ищем иголку в стоге сена. Имя файла, который был прописан вместо (вместе с) explorer.exe запомнили (записали)? Сам файл удалили или нет?
Понятно. Имя файла не запомнил, да игде его увидеть в "AVZ-восстановление системы". Поэтому ,естественно, и не удалил. Все равно спасибо! За науку.
Если что-то из серии vip_porno или video_xxx было в имени файла, то искать в папках Temp (иногда на рабочем столе)
Обыкновенный вымогатель. С логотипом MS. Нужно активировать систему, отправив смс.