Чертов вирус баннер

Лог AVZ

и второй [URL]http://www.fayloobmennik.net/2064293[/URL]
Спасибо

Уважаемый(ая) [B]Melaver[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Перечитайте правила и пришлите нужные логи AVZ

Прикрепите логи на форуме, используя инструкцию [url]http://virusinfo.info/showthread.php?t=121951[/url]

Добавили, это модераторы удалили почему то, видимо читалась неправильно

Еще раз советую [B]внимательно[/B] перечитать правила и прислать логи AVZ, а не автокарантин

Вот так

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\myclient.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Карантин пуст. Это может быть из-за того, что я захожу с другой (не заблокированной) учетной записи?

Т.е логи сделаны не в проблемной учетке? Тогда они бесполезны

У Вас на экране окно блокировки?

А там ничего сделать невозможно. Баннер блокирует все совсем. Ни рабочего стола, ни диспетчера ничего ........

В каком-либо из безопасных режимов в проблемной учетке загружается без блокировки?

Нет, не получилось

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Можно будет сделать что-то через учетку главного админа? вирус то жив, боюсь все перезаражает

[b][color="Red"]I этап[/color][/b] (выполняется на [b]чистой от вирусов[/b] машине)

1. Скачайте на компьютере, [b]с которого сейчас пишете[/b], образ [url="http://support.kaspersky.ru/faq/?qid=208638415"]Kaspersky Rescue Disk[/url] (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

[b][color="Red"]II этап[/color][/b] (выполняется на [b]заблокированной[/b] машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите [b]1[/b], чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите [b]Kaspersky Registry Editor[/b]
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), [b]если у Вас их несколько[/b]
– посмотрите в реестре:
[b]ветка[/B] [color="Red"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
[b]параметр[/b] [color="Blue"]userinit[/color]
[b]параметр[/b] [color="Blue"]shell[/color]
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра [B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[/B] и [B]HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run[/B] в отдельные файлы, заархивируйте и прикрепите к сообщению

Не пойму в чем проблема, но: Я сделала образ и на диске и на флешке, однако при загрузке все равно грузиться винда. Такое впечатление, что он игнорирует приоритет. Может быть я что-то не то делаю? Почитала по шагово инструкции - все так, а загрузка не происходит

На другом компьютере пробовали загружаться с созданного диска?

Давайте попробуем в нормально работающей учетной записи сделать логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Вдруг что-то покажет

Параметры: C:\\windows\system32\uzerinit.exe и explorer.exe.

[b]Melaver[/b],
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"S16114752"="[B][COLOR="#FF0000"]C:\\Users\\Яныч\\0.22338308206904944.exe[/COLOR][/B]"

1. Переименуйте C:\\Users\\Яныч\\[B]0.22338308206904944.exe[/B] в C:\\Users\\Яныч\\0.22338308206904944.[B][COLOR="#FF0000"]bak[/COLOR][/B]

2. Перезагрузитесь и [URL="http://virusinfo.info/content.php?r=136-pravila"]Сделайте логи по правилам![/URL]

Учетка по прежнему заблокирована, соответственно не могу и логи сделать

Удалите при помощи редактора реестра на Kaspersky Live CD следующие параметры:

[CODE]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[COLOR="#800080"]"S16114752"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S1921583"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S2772136"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S12540140"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S77105126"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S1844186"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S18516911"="C:\\Users\\Яныч\\0.22338308206904944.exe"[/COLOR][/CODE]

Попробуйте войти в учётную запись.

Сыграли в игру "Добро пожаловать или посторонним вход воспрещен" баннер наместе. Все заблокировано