-
Junior Member
- Вес репутации
- 54
windows заблокирован
Здравствуйте, Проблема с таким баннером. В автозагрузке его нет. Антивирусы в live cd его не находят, avz и avp tool тоже его не находят. Блокирует все, но путем некоторых манипуляций удается запустить диспетчер задач и даже выполнить explprer.exe, но не надолго банер появляется через 3-5 сек. к этому баннеру код не подбирается
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Titov, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 54
Дело происходит на нетбуке, интернета на нем нет. Использую здоровый комп
-
Логи с LiveCD бесполезны
Картинку блокировщика сфотографируйте, выложите на обменник и пришлите ссылку
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Пока ждал ответа, попробовал с live cd программу TrojanRemover. во вложениях фото, на что он поругался. Потом попросил перезагрузки. Перезагрузил. Сам баннер как таковой не показывается, но нет и рабочего стола, просто фоновая картинка. теперь даже диспетчер не открывается.
Сам баннер точно такой же, только номер билайна другой:
http://yes73.ru/download/download.ph...34971efa2f9ab7
А вот то, на что ругался TR:
http://yes73.ru/download/download.ph...6ddb54f9a1e6c2
http://yes73.ru/download/download.ph...c58ca030d1b986
-
1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP – версия 2005 (5.0), для Vista – версия 2007 (6.0), для Windows 7 – версия 2009 (6.5)), запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Значения этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
erd 2005 есть в том live cd. параметр shell: EXPLORER.EXE параметр userinit: userinit
-
Здравствуйте!
Сообщение от
Titov
параметр userinit: userinit
Пожалуйста, напишите подробнее - значение параметра именно такое?
-
-
Junior Member
- Вес репутации
- 54
именно такие...
Добавлено через 1 минуту
возможно это из-за того что я загрузился с live cd? И причем когда их меняешь, после перезагрузки они снова как были
Добавлено через 23 минуты
Прошу прощения, но я кажется запутался... Сделал еще один ERD (он уже один, без лайв сд) так этот редактор реестра показывает следующее:
shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,
Добавлено через 19 секунд
Прошу прощения, но я кажется запутался... Сделал еще один ERD (он уже один, без лайв сд) так этот редактор реестра показывает следующее:
shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,
Последний раз редактировалось Titov; 07.06.2011 в 00:15.
Причина: Добавлено
-
Сообщение от
Titov
shell: cmd.exe /k start cmd.exe
userinit: X:\windows\system32\userinit.exe,
Это явно параметры от LiveCD.
Подгрузите куст SOFTWARE (Откройте редактор реестра, File->Load Hive (Файл->Загрузить куст)) из папки
Код:
<диск с заблокированой ОС>:\WINDOWS\System32\config
Затем сообщите значение параметров, которые даны в посте от thyrex выше.
-
-
Junior Member
- Вес репутации
- 54
брррррр.... я понятия не имею че за реестры он тут мне показывает... они везде разные((( после перезагрузки все остаются такие какие были, как будто ничего не менял
-
Нажмите на ссылку "Подгрузите куст SOFTWARE" - там все подробно описано, со скриншотами.
-
-
Junior Member
- Вес репутации
- 54
тааааак... куст загрузил shell: explorer.exe
userinit: C:\windows\system32\drivers\system32.exe
-
О, теперь нашли зловреда.
Измените значение параметра
на
Код:
C:\WINDOWS\system32\userinit.exe,
И попытайтесь загрузится с блокированной системы.
-
-
Junior Member
- Вес репутации
- 54
загрузились. Выдал ошибку: Windows не удалось найти С:\documents and settings\1\application data\simply super software\trojan remover\rmvtrjan.exe Проверьте правильность... бла бла..
Добавлено через 51 секунду
АААААААААААА... золотые вы мои.... загрузился!!!!!!
Последний раз редактировалось Titov; 07.06.2011 в 00:48.
Причина: Добавлено
-
В системе можно работать? Полностью загрузилась?
Если да, то делайте логи по правилам.
-
-
Junior Member
- Вес репутации
- 54
вот логи... 20минут делал(((
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\config\svchost.exe','');
DeleteFile('C:\Program Files\VPets\VPets.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
DeleteFile('C:\WINDOWS\system32\config\svchost.exe');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
DeleteFileMask('C:\VPets', '*.*', true);
DeleteDirectory('C:\VPets');
DeleteFileMask('D:\VPets', '*.*', true);
DeleteDirectory('D:\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-