-
Junior Member
- Вес репутации
- 58
Баннер педофилии и последствия самолечения
Родственница обратилась за помощью. Вылез баннер. Долго не думая скачала како-то LIVE CD. Запустилась с него. Пролечилась антивирусом. В итоге винда пытается загрузится, появляется сообщение о результатах проверки подлинности винды и чтоб не делал, через 3-5 секунд опять возвращается на ввод пароля и по кругу. При этом успевает появится заставка рабочего стола, но без ярлыков и значков. Что делать систему нужно поднять. Там вся бухгалтерия 1с! В безопасном режиме не грузится то же.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
С аналогичной здоровой системы скопируйте файлы
WINDOWS\system32\userinit.exe
WINDOWS\system32\taskmgr.exe
в аналогичную папку больной системы.
Попробуйте загрузиться и сделать логи.
-
-
Junior Member
- Вес репутации
- 58
Что-то я не подумал, что надо так и действовать, как и раньше при поимке этого баннера. Увидив ваши советы сразу понял, что действовать надо стандартно, как и ранее по этой инструкции которую где-то нашел:
"Открываете папку C:\Documents and Settings\All Users.WINDOWS\Application Data, удаляете userinit.exe и 22cc6c32.exe, затем заходите в C:\WINDOWS\system32\dllcache (но ее может правда и не быть, но все равно проверьте), находим и удаляем файлы taskmgr.exe и userinit.exe. Затем предстоит самое трудное. Необходимо скинуть на флэшку с рабочего компа с системой Windows XP(возьмити у друзей, на работе или еще где нибудь, они к стате могут быть на LiveCD, но у меня не было), два оригинальных (незараженных) файла taskmgr.exe и userinit.exe. Затем вставляете флэшку в зараженный комп. Находите на зараженном компе файлы taskmgr.exe и userinit.exe в папке C:\WINDOWS\system32, удаляете их и вставляете вместо них оргинальные файлы, которые у вас на флэшке. Вуаля, если все сделали правильно, то перезагружаете комп и увидите перед собой любимый рабочий стол (возможно и не запустится, если будут голые обои, то запускаете диспетчер задач, затем выполнить, пишете команду regedit,изменяете параметьры системного реестра KEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe,). Перезапускаетесь еще раз и все good.Затем чистите систему антивиром (обязательно, у меня нашел остатки этого вируса в 18 объектах). "
После этого все запустилось. Этого достаточно (не считая конечно, что систему надо прогнать антивирусником)?
Или все-таки делать логи?
-
-
-
Junior Member
- Вес репутации
- 58
-
Пофиксите в HijackThis (как пофиксить):
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ (как выполнить):
Код:
begin
DeleteFile('C:\Documents and Settings\Anny\Application Data\netprotocol.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
end.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 58
-
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Nikkollo
Чисто.
Отлично, спасибо!