Заблокирован Windows

**mortiis** · 03.06.2011, 19:02

Приветствую.
Прошу помощи

При входе в учетку Windows XP появляется баннер с просьбой кинуть денег на номер.
Сейчас загрузился в ERD Commander
Что делать дальше? Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.06.2011, 19:03

Уважаемый(ая) mortiis, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Nikkollo** · 03.06.2011, 19:22

1. Загрузитесь с ERD Commander
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

ветка

Код:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этих параметров напишите в своем сообщении.

**mortiis** · 03.06.2011, 20:21

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

userinit
C:\windows\system32\userinit.exe, autorun.bat

shell
C:\documents and settings\application data\22cc6c32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs
пустой

Добавлено через 23 минуты

Добавлено через 26 минут

Userinit.exe был вирусным, заменил с другого компа
Спасибо!

**thyrex** · 03.06.2011, 20:56

Не торопитесь.

1. Файл taskmgr.exe также может быть заражен
2. http://virusinfo.info/pravila.html

**mortiis** · 04.06.2011, 09:14

Готово!

**thyrex** · 04.06.2011, 09:38

1. Обновите базы AVZ и сделайте полный комплект логов

2. Размер файла taskmgr.exe сообщите

3. Сделайте лог полного сканирования МВАМ

**mortiis** · 05.06.2011, 06:55

Готово!

**thyrex** · 05.06.2011, 11:12

Удалите в МВАМ только указанные строки

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
c:\documents and settings\all users\application data\22CC6C32.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\LJEU1LIY\chow[1] (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\UTAYUBEB\x[1] (Backdoor.IRCBot) -> No action taken.
c:\system volume information\_restore{88aa03b2-c147-4c41-92e7-a9215abc2258}\RP214\A0052434.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\Autorun.exe (Worm.AutoRun) -> No action taken.
c:\documents and settings\Маша\local settings\Temp\0.7692953380992733.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Маша\local settings\Temp\0.8412529652087813.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Маша\local settings\Temp\0.063108405537047.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

Добавлено через 19 секунд