Блокировщик Windows с запросом платного СМС

[beast_]

После перезагрузки виндоус и включения в обычном режиме банер не исчез.

Сейчас снова посмотрел значение параметра Shell - там снова другое значение (либо Explorer.exe я не сохранил, либо после перезагрузки опять троян вписал его в реестр)

И еше, в Userinit стоит X:\WINDOWS\system32\userinit.exe, это из-за того что с CD гружусь или исправить на C?

[MotherBoard]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Проверьте, нет второго Winlogon c маленькой буквы

--------------------------------------------------------------------------------------winlogon

+

запомните путь поддельных параметров

После редактирования файлы зловредов(запомните путь) переименуйте файлы и сохраните их в отдельной папке.

После чего удалите эти файлы по естественному пути, а сохранённые и переименованные файлы отправьте в ЛК согласно формы:

http://support.kaspersky.ru/virlab/helpdesk.html

А насчёт

X:\WINDOWS\system32\userinit.exe,

У вас системный раздел: Диск С?

Тогда на С и исправляйте..

Я только что загрузилась с ЕРД Коммандор, даже в режиме LiveCD путь записан через С, так как у меня Диск С - системный..

Изменено 5 июля, 2010 пользователем MotherBoard

[beast_]

Второго Winlogon нет.

Системный диск C у меня - исправил с X.

 

запомните путь поддельных параметров

После редактирования файлы зловредов(запомните путь) переименуйте файлы и сохраните их в отдельной папке.

После чего удалите эти файлы.

А вот нащет этого не понял немного. Мне нужно запомнить неправильный параметр (то есть cmd.exe /k start cmd.exe) дальше переименовать в правильный, и сохранить в отдельной папке? где?

не могли бы немного поподробнее описать процес )с) спасибо

 

И еще вопрос как я их отправлю? я щас просто с ноута сижу пишу, а этот процесс весь на пц происходит)

[MotherBoard]

cmd.exe переименуйте из cmd любыми символами, чтобы он стал неактивным...

А пути у вас k - есть такой логический диск или привод или флэшка..?

Надо через файлы и папки найти его, переименовать, пересохранить, после чего удалить....

если же путь неизвестный, то есть у вас как таковой логический или съёмный диск отсутствует и не было..

 

Тогда так же скачайте cureit и дайте полную проверку компьютера с режима LiveCD

[beast_]

K - такого вообще ничего нет.

И еще проблема - как я найду cmd.exe и перемеину, если у меня через эту оболочку сама винда не грузится. Я тока через командную строку могу работать по сути дела.

[MotherBoard]

K - такого вообще ничего нет.

И еще проблема - как я найду cmd.exe и перемеину, если у меня через эту оболочку сама винда не грузится. Я тока через командную строку могу работать по сути дела.

ТОгда пока что выполняйте:

скачайте cureit и дайте полную проверку компьютера с режима LiveCD

а там посмотрим дальше, что делать.. Какой -то путь у файла странно.. липовый..

Изменено 5 июля, 2010 пользователем MotherBoard

[beast_]

М, а как запустить проверку полную ПЦ?

Скачать эту программу cureit На отдельный диск и также через биос запустить? али как?

[MotherBoard]

А после редактирования реестра Userinit параметра у вас баннер пропал или остался?

Проверьте ещё параметры автозагрузки:

 

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

 

есть ли там непонятные вам записи программ?

а с CurreIt и LiveCD пока подождите

Изменено 5 июля, 2010 пользователем MotherBoard

[thyrex]

beast_, Вы используете ERD Commander или какой-то другой LiveCD?

Если все же ERD Commander, то используйте версию 2005, а не 2009 (3 in 1)

[beast_]

ERD Commander использую 2009 года

2005 лучшей скачать?

[Mark D. Pearlstone]

ERD Commander использую 2009 года

2005 лучшей скачать?

Для XP да.

[beast_]

В деблокере появились коды разблокировки для моего номера и текста смс, но увы они не подходят(((

 

А после редактирования реестра Userinit параметра у вас баннер пропал или остался?

Проверьте ещё параметры автозагрузки:

 

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce]

• [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

• [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

 

есть ли там непонятные вам записи программ?

а с CurreIt и LiveCD пока подождите

 

Все нормально там, ничего непонятного нет

 

ЗАшел через ERD Commander 2005, там в значении параметра Shell все нормально - explorer.exe стоит.

Оболочка грузица нормально) что делать подскажите

[Mark D. Pearlstone]

ЗАшел через ERD Commander 2005, там в значении параметра Shell все нормально - explorer.exe стоит.

Оболочка грузица нормально) что делать подскажите

В смысле при обычной загрузке баннера уже нет?

[beast_]

Нет, при обычной загрузке банер есть и никуда не девается...)

 

Аа что делать подскажите пожалуйста! ПК уже нужен срочно. Мастера думаю не имеет смысла вызывать...)?

[MotherBoard]

Посмотрите папки на компе:

c\Program Files\.. нет ли там каких ХХХ.exe

так же посмотрите:

C:\Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files\Content.IE5\

Нет ли каких папок со случайными символами и экзешками внутри..

так же проверьте:

Файл C:\WINDOWS\system32\drivers\etc\hosts должна быть в основном одна строка :

127.0.0.1 localhost.

Изменено 7 июля, 2010 пользователем MotherBoard