Очередной банер-вымогатель - Страница 2

-ЗЛОЙ- · 11.01.2012, 12:10

стояло слабое железо, поэтому антивиря не было. Вот и полезла нечисть.
Недавно чуть прокачал систему а антивирь поставить забыл.
После удаления заразы установил кис8 (ставлю на все компы - ниразу нареканий ни на работу ни на прожорливость не было)
Всем спасибо!

MrSTEP · 11.01.2012, 23:06

Цитата:

Сообщение от AlexZir

UnLocker сам проверит системный реестр и пофиксит подозрительные записи.

Лёш, а что это за утилита? Я знаю один анлокер, который помогает удалить занятые процессами файлы.

Б.Г. Мот · 11.01.2012, 23:30

Цитата:

Сообщение от -ЗЛОЙ-

Полазил по реестру - подозрительного тоже ничего не нашел.

плохо искали... насколько я понял, обоина рабочего стола таки загружается. значит, MBR не заражен - эта пакость таки торчит в автозагрузке и(или) изменено значение параметров раздела Shell

на что надо было обращать внимание:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run (из этих веток удаляем все подозрительные значения - систему не положите)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (параметр AppInit_DLLs должен быть пустым)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (значения: Shell - Explorer.exe; UIHost - logonui.exe; Userinit - C:\WINDOWS\system32\userinit.exe,; VmApplet - rundll32 shell32,Control_RunDLL "sysdm.cpl")

Б.Г. Мот · 11.01.2012, 23:42

опечатка:

Цитата:

Сообщение от Б.Г. Мот

изменено значение параметров раздела Shell

изменено значение параметров раздела Winlogon

не опечатка:

Цитата:

Сообщение от Б.Г. Мот

Userinit - C:\WINDOWS\system32\userinit.exe,

в конце строки - запятая

Цитата:

Сообщение от -ЗЛОЙ-

Загрузился в безопаске

тем более вы работали в тепличных условиях

Б.Г. Мот · 11.01.2012, 23:57

Цитата:

Сообщение от Б.Г. Мот

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

еще один момент: в этой ветке не должно быть параметров Recycler, Trash и им подобных. увидели - выпиливайте. только запомните, на какой файл они ведут - его тоже надо удалить.

это же касается всей ветки Winlogon и параметра AppInit_DLLs

вроде все, теперь можно и сканировать =)

sedoy · 12.01.2012, 09:40

Цитата:

Сообщение от MrSTEP

Лёш, а что это за утилита? Я знаю один анлокер, который помогает удалить занятые процессами файлы.

Грузишься с этого Kaspersky Rescue Disk, отсюда Проверка на вирусы. Сначала сканируешь на вирусы, потом запускаешь Unlocker (он сам правит реестр), потом желательно подкинуть в систему оригинальные файлы (пакет для ХР Алексей выкладывал в библиотеку). Мне помогало, и не раз. Еще раз спасибо AlexZir.

-ЗЛОЙ- · 12.01.2012, 13:32

Цитата:

Сообщение от Б.Г. Мот

плохо искали...

может быть... особо долго не искал... те ссылки на ветки реестра которые нашел в нете проверил по быстрому...

MrSTEP · 12.01.2012, 20:03

Цитата:

Сообщение от -ЗЛОЙ-

потом запускаешь Unlocker (он сам правит реестр)

то есть это все на этом Rescue диске?

George Smith · 12.01.2012, 20:33

Фу пока разобрался, цитата от Олега Седого получилась как от -ЗЛОГО- ...

Да Леша, эта байда прописывается в реестре, вместо Рабочего стола - explorer ...

Если знаешь в реестре место, где explorer, заходишь в Безопастном режиме и меняешь
просто на explorer.exe и запоминаешь путь где эта тварь находится, потом перегружаешся
и удаляешь. Но я сам не могу никак запомнить, где в реестре explorer ? ...

Б.Г. Мот · 12.01.2012, 20:40

Цитата:

Сообщение от Б.Г. Мот

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (значения: Shell - Explorer.exe; UIHost - logonui.exe; Userinit - C:\WINDOWS\system32\userinit.exe,; VmApplet - rundll32 shell32,Control_RunDLL "sysdm.cpl")

а это я зачем писал?

12.01.2012, 20:33	#19 (permalink)
George Smith << Эксперт >> Регистрация: 27.11.2010 Адрес: Большеземельская тундра, Чукча я однако ... :) Сообщений: 28,167 Записей в дневнике: 5 Сказал(а) спасибо: 400 Поблагодарили 273 раз(а) в 85 сообщениях Репутация: 81007	Фу пока разобрался, цитата от Олега Седого получилась как от -ЗЛОГО- ... Да Леша, эта байда прописывается в реестре, вместо Рабочего стола - explorer ... Если знаешь в реестре место, где explorer, заходишь в Безопастном режиме и меняешь просто на explorer.exe и запоминаешь путь где эта тварь находится, потом перегружаешся и удаляешь. Но я сам не могу никак запомнить, где в реестре explorer ? ... __________________

11.01.2012, 12:10	#11 (permalink)
-ЗЛОЙ- Banned Регистрация: 04.10.2010 Сообщений: 3,765 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2154	стояло слабое железо, поэтому антивиря не было. Вот и полезла нечисть. Недавно чуть прокачал систему а антивирь поставить забыл. После удаления заразы установил кис8 (ставлю на все компы - ниразу нареканий ни на работу ни на прожорливость не было) Всем спасибо!

11.01.2012, 12:10
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Пока в вашей теме не появились ответы, можете посмотреть эти Очередной зверь Очередной конфиг Банер Банер заблокировал рабочий стол

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070