Printable View
Висит баннер. просит пополнить электронный кошелек. рабочий стол им полностью закрыт. Запустить поэтому ничего не могу. Кодов с сайтов антивирусов для него нет. помогите.
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
Загрузился с Erd commander, но как сделать логи AVZ именно зараженной системы??
1.скачайте [B]Live CD[/B] с возможностью поиска и исправления в реестре. Например, [B]ERD Commander[/B].
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - [B]erdregedit[/B]
4.Посмотрите в реестре:
[B]ветка[/B]
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
[B]параметр[/B]
[CODE]userinit[/CODE]
[B]параметр[/B]
[CODE]shell[/CODE]
а также
[B]ветка[/B]
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B]
[CODE]AppInit_DLLs[/CODE]
Содержимое этих параметров напишите в своем сообщении
а как загрузить именно реестр той виндовс, что на жестком диске?
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
userinit - x:\windows\system32\userinit.exe
shell - cmd.exe /k start cmd.exe
AppInit_DLLs - пусто
но мне кажется это реестр загруженного Erd Commandera...
[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]
Нашел,
в параметрах userinit - \windows\system32\userinit.exe через запятую был прописан файл usrinit.exe
удалил в ключе - баннер исчез.
остальные ключи нормальные
Теперь можно сделать логи по [URL="http://virusinfo.info/pravila.html"]правилам.[/URL]
комп уже забрали... )) на радостях. если еще принесут. обязательно сделаю)
сам вредный файл я удалил из sistem32
спасибо.