beast_ 0 Опубликовано 5 июля, 2010 Автор Share Опубликовано 5 июля, 2010 После перезагрузки виндоус и включения в обычном режиме банер не исчез. Сейчас снова посмотрел значение параметра Shell - там снова другое значение (либо Explorer.exe я не сохранил, либо после перезагрузки опять троян вписал его в реестр) И еше, в Userinit стоит X:\WINDOWS\system32\userinit.exe, это из-за того что с CD гружусь или исправить на C? Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 5 июля, 2010 Share Опубликовано 5 июля, 2010 (изменено) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Проверьте, нет второго Winlogon c маленькой буквы --------------------------------------------------------------------------------------winlogon + запомните путь поддельных параметров После редактирования файлы зловредов(запомните путь) переименуйте файлы и сохраните их в отдельной папке. После чего удалите эти файлы по естественному пути, а сохранённые и переименованные файлы отправьте в ЛК согласно формы: http://support.kaspersky.ru/virlab/helpdesk.html А насчёт X:\WINDOWS\system32\userinit.exe, У вас системный раздел: Диск С? Тогда на С и исправляйте.. Я только что загрузилась с ЕРД Коммандор, даже в режиме LiveCD путь записан через С, так как у меня Диск С - системный.. Изменено 5 июля, 2010 пользователем MotherBoard Цитата Ссылка на сообщение Поделиться на другие сайты
beast_ 0 Опубликовано 5 июля, 2010 Автор Share Опубликовано 5 июля, 2010 Второго Winlogon нет. Системный диск C у меня - исправил с X. запомните путь поддельных параметровПосле редактирования файлы зловредов(запомните путь) переименуйте файлы и сохраните их в отдельной папке. После чего удалите эти файлы. А вот нащет этого не понял немного. Мне нужно запомнить неправильный параметр (то есть cmd.exe /k start cmd.exe) дальше переименовать в правильный, и сохранить в отдельной папке? где? не могли бы немного поподробнее описать процес )с) спасибо И еще вопрос как я их отправлю? я щас просто с ноута сижу пишу, а этот процесс весь на пц происходит) Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 5 июля, 2010 Share Опубликовано 5 июля, 2010 cmd.exe переименуйте из cmd любыми символами, чтобы он стал неактивным... А пути у вас k - есть такой логический диск или привод или флэшка..? Надо через файлы и папки найти его, переименовать, пересохранить, после чего удалить.... если же путь неизвестный, то есть у вас как таковой логический или съёмный диск отсутствует и не было.. Тогда так же скачайте cureit и дайте полную проверку компьютера с режима LiveCD Цитата Ссылка на сообщение Поделиться на другие сайты
beast_ 0 Опубликовано 5 июля, 2010 Автор Share Опубликовано 5 июля, 2010 K - такого вообще ничего нет. И еще проблема - как я найду cmd.exe и перемеину, если у меня через эту оболочку сама винда не грузится. Я тока через командную строку могу работать по сути дела. Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 5 июля, 2010 Share Опубликовано 5 июля, 2010 (изменено) K - такого вообще ничего нет. И еще проблема - как я найду cmd.exe и перемеину, если у меня через эту оболочку сама винда не грузится. Я тока через командную строку могу работать по сути дела. ТОгда пока что выполняйте: скачайте cureit и дайте полную проверку компьютера с режима LiveCD а там посмотрим дальше, что делать.. Какой -то путь у файла странно.. липовый.. Изменено 5 июля, 2010 пользователем MotherBoard Цитата Ссылка на сообщение Поделиться на другие сайты
beast_ 0 Опубликовано 5 июля, 2010 Автор Share Опубликовано 5 июля, 2010 М, а как запустить проверку полную ПЦ? Скачать эту программу cureit На отдельный диск и также через биос запустить? али как? Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 5 июля, 2010 Share Опубликовано 5 июля, 2010 (изменено) А после редактирования реестра Userinit параметра у вас баннер пропал или остался? Проверьте ещё параметры автозагрузки: • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce] • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx] • [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] • [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce] [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows] есть ли там непонятные вам записи программ? а с CurreIt и LiveCD пока подождите Изменено 5 июля, 2010 пользователем MotherBoard Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 июля, 2010 Share Опубликовано 5 июля, 2010 beast_, Вы используете ERD Commander или какой-то другой LiveCD? Если все же ERD Commander, то используйте версию 2005, а не 2009 (3 in 1) Цитата Ссылка на сообщение Поделиться на другие сайты
beast_ 0 Опубликовано 7 июля, 2010 Автор Share Опубликовано 7 июля, 2010 ERD Commander использую 2009 года 2005 лучшей скачать? Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 7 июля, 2010 Share Опубликовано 7 июля, 2010 ERD Commander использую 2009 года2005 лучшей скачать? Для XP да. Цитата Ссылка на сообщение Поделиться на другие сайты
beast_ 0 Опубликовано 7 июля, 2010 Автор Share Опубликовано 7 июля, 2010 В деблокере появились коды разблокировки для моего номера и текста смс, но увы они не подходят((( А после редактирования реестра Userinit параметра у вас баннер пропал или остался?Проверьте ещё параметры автозагрузки: • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce] • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx] • [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] • [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce] [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows] есть ли там непонятные вам записи программ? а с CurreIt и LiveCD пока подождите Все нормально там, ничего непонятного нет ЗАшел через ERD Commander 2005, там в значении параметра Shell все нормально - explorer.exe стоит. Оболочка грузица нормально) что делать подскажите Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 7 июля, 2010 Share Опубликовано 7 июля, 2010 ЗАшел через ERD Commander 2005, там в значении параметра Shell все нормально - explorer.exe стоит.Оболочка грузица нормально) что делать подскажите В смысле при обычной загрузке баннера уже нет? Цитата Ссылка на сообщение Поделиться на другие сайты
beast_ 0 Опубликовано 7 июля, 2010 Автор Share Опубликовано 7 июля, 2010 Нет, при обычной загрузке банер есть и никуда не девается...) Аа что делать подскажите пожалуйста! ПК уже нужен срочно. Мастера думаю не имеет смысла вызывать...)? Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 7 июля, 2010 Share Опубликовано 7 июля, 2010 (изменено) Посмотрите папки на компе: c\Program Files\.. нет ли там каких ХХХ.exe так же посмотрите: C:\Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files\Content.IE5\ Нет ли каких папок со случайными символами и экзешками внутри.. так же проверьте: Файл C:\WINDOWS\system32\drivers\etc\hosts должна быть в основном одна строка : 127.0.0.1 localhost. Изменено 7 июля, 2010 пользователем MotherBoard Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.