Перейти к содержанию
Правила раздела

Баннер

SaDist

Автор SaDist
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SaDist

SaDist

Опубликовано
Опубликовано

Вчера подруга попросила помочь ей убрать вирус. Ну а я как всегда без всяких средств. Был загрузочный диск с "операционкой".

 

Баннер тот, что представлен выше.

 

Как сказала подруга баннер создал две учетных записи (два пользователя. Первый (старый) был Administrator, второй - UserXP).

Записывается в автозагрузку.

 

В регистре, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon:

Shell - C:\Documents and Settings\All users\Ap Data\22cc6c32.exe

Userinit - C:\WINDOWS\system32\userinit.exe

UIHst - logonui.exe

 

К сожалению, флешки не было, поэтому скинуть файл (22cc6c32.exe) этот не смог.

 

Изменил Shell на C:\WINDOWS\explorer.exe

 

___

 

Далее просмотрел ..\Windows\CurrentVersion\Run

Ничего подозрительного не было. На всякий случай удалил все программы, кроме системных.

 

___

 

..\WindowsNT\CurrentVersion\Windows\AppInit_Dlls

Там прописывался либо антивирус, либо сам вирус. Очистил строку. К сожалению, что там было написано не записал. Очень жалею.

 

___

 

..\WindowsNT\CurrentVersion\Image File Execution Options\

Надеялся, что баннер прописал себя как отладчик для какого-нибудь системного файла. Вроде ничего не нашел. По крайней мере, userinit.exe, explorer.exe, iexplorer.exe не было.

 

___

 

Просмотрел HKEY_USERS\%username%\...

Ничего не было.

 

___

 

Запустил компьютер - баннер все равно появляется. Файл (я его удалял вручную) 22cc6c32.exe восстановился. Все.

 

___

 

Подруга сказала, что искали на сайте код разблокировки. Оказалось (где-то на форуме сказали, что автор баннера не делал кода для разблокировки) что его нет.

 

Вот такая вот фигня. Ну ладно.. Если она еще не переустановила систему, пойду файлик этот скачаю и через Kaspersky WindowsUnlocker посмотрю.

thyrex

thyrex

Опубликовано
Опубликовано

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)

2. Загрузиться с Live CD

3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache)

4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32

5. Исправляете параметры: shell, где должно быть указано explorer.exe и userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (включая запятую!).

 

Пробуете стартовать в проблемной системе

  • 10 месяцев спустя...
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...