SaDist 0 Опубликовано 19 сентября, 2011 Share Опубликовано 19 сентября, 2011 Вчера подруга попросила помочь ей убрать вирус. Ну а я как всегда без всяких средств. Был загрузочный диск с "операционкой". Баннер тот, что представлен выше. Как сказала подруга баннер создал две учетных записи (два пользователя. Первый (старый) был Administrator, второй - UserXP). Записывается в автозагрузку. В регистре, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon: Shell - C:\Documents and Settings\All users\Ap Data\22cc6c32.exe Userinit - C:\WINDOWS\system32\userinit.exe UIHst - logonui.exe К сожалению, флешки не было, поэтому скинуть файл (22cc6c32.exe) этот не смог. Изменил Shell на C:\WINDOWS\explorer.exe ___ Далее просмотрел ..\Windows\CurrentVersion\Run Ничего подозрительного не было. На всякий случай удалил все программы, кроме системных. ___ ..\WindowsNT\CurrentVersion\Windows\AppInit_Dlls Там прописывался либо антивирус, либо сам вирус. Очистил строку. К сожалению, что там было написано не записал. Очень жалею. ___ ..\WindowsNT\CurrentVersion\Image File Execution Options\ Надеялся, что баннер прописал себя как отладчик для какого-нибудь системного файла. Вроде ничего не нашел. По крайней мере, userinit.exe, explorer.exe, iexplorer.exe не было. ___ Просмотрел HKEY_USERS\%username%\... Ничего не было. ___ Запустил компьютер - баннер все равно появляется. Файл (я его удалял вручную) 22cc6c32.exe восстановился. Все. ___ Подруга сказала, что искали на сайте код разблокировки. Оказалось (где-то на форуме сказали, что автор баннера не делал кода для разблокировки) что его нет. Вот такая вот фигня. Ну ладно.. Если она еще не переустановила систему, пойду файлик этот скачаю и через Kaspersky WindowsUnlocker посмотрю. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 472 Опубликовано 19 сентября, 2011 Share Опубликовано 19 сентября, 2011 1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной) 2. Загрузиться с Live CD 3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache) 4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32 5. Исправляете параметры: shell, где должно быть указано explorer.exe и userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (включая запятую!). Пробуете стартовать в проблемной системе Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 705 Опубликовано 21 июля, 2012 Share Опубликовано 21 июля, 2012 Сообщение от модератора Mark D. Pearlstone Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=36294 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения