-
Junior Member
- Вес репутации
- 50
Баннер выскакивает в обычном и в SafeMode
Чел скачал какой то файл для игры "Тюряга", запустил, появился баннер.
Я запускал AVZ загружаясь в "Windows7" по пункту "В режиме командной строки".
Сейчас у меня тот ЖД подключен к моему компу был и я прошелся по нему антивирусом Comodo:
Heur.Corrupt.PE@-1 G:\Users\Jenya\Downloads\Turyaga_Nakrutka_v.2.4.ex e
Когда смотрел в ветку WinLogon, то там все было как положено. Тогда как вызывалась баннерная заставка? Она появлялась на рабочем столе спустя несколько секунд после отображения стола.
Последний раз редактировалось thyrex; 08.02.2012 в 16:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
Сообщение от
malor
Когда смотрел в ветку WinLogon, то там все было как положено.
Когда и как смотрели? Есть подозрение, что смотрели реестр чистой системы, к которой подключили винчестер. А нужно было вот так, например, http://virusinfo.info/showthread.php?t=72176 или зайти в редактор реестра чистой системы и загружать куст проблемной
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Баннер && "Turyaga_Nakrutka_v.2.4.exe"
Фиксил эти первые 12 строк хайджека, но все равно при загрузке банер вышел...
Реестр смотрел когда находился на зараженном компе в режиме загрузки с командной строкой.
А про файл "Turyaga_Nakrutka_v.2.4.exe" в логах никак не упомянуто ? Это не он автозагрузочно запускался и отображал баннер на экране?
Последний раз редактировалось malor; 30.03.2011 в 13:25.
-
Сообщение от
malor
Фиксил эти первые 12 строк хайджека, но все равно при загрузке банер вышел...
Эти строки предназначены для того компьютера, к которому Вы подключили винчестер
Сообщение от
malor
Реестр смотрел когда находился на зараженном компе в режиме загрузки с командной строкой.
Т.е. на зараженном компьютере этот режим работает? Тогда что мешает Вам сделать логи зараженного компьютера?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сегодня утром я уже вернул ЖД на зараженный комп и на нем, разумеется, и фиксил в Хайджеке.
-
Сообщение от
malor
Сегодня утром я уже вернул ЖД на зараженный комп и на нем, разумеется, и фиксил в Хайджеке.
Сообщение от
thyrex
Т.е. на зараженном компьютере этот режим работает? Тогда что мешает Вам сделать логи зараженного компьютера?
Осталось без ответа
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Так я и выкладывал логи зараженного компа в первом посте данного топика! ))
-
Доступа не было к Windows 7? Логи сделаны после снятия блокировки?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
Доступа не было к Windows 7? Логи сделаны после снятия блокировки?
Но блокировка еще не снята, thyrex. Доступ к Win7 пока только в режиме Command Line.
-
1. Скачайте образ ERD Commander (3 in 1), запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Значения этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
Значения этих параметров напишите в своем сообщении
Сообщение от
malor
Когда смотрел в ветку WinLogon, то там все было как положено.
Вот я про эти параметры и говорил (shell, userinit ), в 1м посте.
Сегодня работая в "Command Line" запустил "Total Commander" и сделал поиск exe-файлов на диске "С" появившихся за последние трое суток. Нашелся один:
C:\Windows\Sound.exe
Я его переименовал, и загрузка прошла без баннера. Затем открыв msconfig увидел, что запуск присутствует его в автозагрузке. Галочку снял (клавиша Delete там не работает?)
Утилиты AVZ и HijackThis не выдавали про "sound.exe" никакой инфы?
-
Сообщение от
malor
Утилиты AVZ и HijackThis не выдавали про "sound.exe" никакой инфы?
Если логи делались, когда винчестер был подключен к другой машине, то естественно не показали. Ведь в этом случае проверялся чистый компьютер
Сделайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Видно я 1й пост запутанно написал)
Все логи делал на зараженной машине, удаление Хайджековских строк (указанных вами) и просмотры реестра - тоже.
На чужой машине выполнял только прогон антивирусником.
-
malor, сделайте новые логи.
З,Ы. удалить строчку с автозагрузки можно к примеру через CCleaner
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-