16.06.2010, 18:32 | #1 (ссылка) |
Новичок
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
|
Рекламный порнобаннер pornohub
Здравствуйте, обращаюсь к вам со своей проблемом, надеюсь, что получится решить
номер 3381 текст 1840381873300 Небольшое предисловие Появился тут вчера данный баннер. С такими вещами встречаюсь раз третий, наверное. Первый раз, когда появился подобный баннер его можно было даже передвигать по рабочему столу, он ни один процесс не блокировал, довольно легко удалось его убрать при помощи сервиса Deblocker от Касперского. Во второй раз все процессы запускались, но каждую секунду появлялся новый процесс от него же и процессор был загружен настолько, что ни один процесс (хоть и заблокирован не был) не запускался) на этот раз помог аналогичный Deblocker'у сервис от Доктора Веба. ну потом почистил все антивирем, вроде норм. Теперь доходим до нынешней проблемы. Трояны эти с огромной скоростью прогрессируют. В итоге сейчас баннер перемещать нельзя, он запускается СРАЗУ с запуском ОС, а еще он делает недоступным АБСОЛЮТНО ВЕСЬ РАБОЧИЙ СТОЛ, включая панель задач, меню Пуск, и прочее. При клике мышкой в любую область рабочего стола (кроме самого баннера) пищит один из звуков виндоусовской ошибки. Ctrl + alt +del вызывает диспетчер задач (его иконка появляется в панели задач), но невидимый слой баннера скрывает его и переключиться на него тоже невозможно) кнопкой Виндоус вызывается меню Пуск, но все элементы при наведении мышкой являются неактивными. С клавиатуры перемещаться тоже не получается. Единственно, что у меня получилось сделать - это при момощи ctrl + r вызывать меню выполнить (причем оно появляется, через секунду пропадает, и, как выяснилось, - находится в "невидимом" режиме"), прописать там taskkill /f /im explorer.exe ну и благополучно эксплорер.екзе убить но в деле это никак не помогло. Пробовал безопасный режим - баннер там так же висит и рабочий стол тоже блокируется. Проверял коды в Deblocker, в сервисе Dr. Web - коды первого не подходят, а во втором их даже и нет. В итоге получается, что единственный вариант - вслепую работать с командной строкой. Смиренно жду советов мастеров |
16.06.2010, 18:35 | #2 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Darth Reals,
Смогёте ослилить LiveCD размером 140 МБ ? Вот http://pchelpforum.ru/showpost.php?p=69244&postcount=2 ссылка и инструкция какие там нужно сделать логи. Или LiveCDmini . Только предупредите если будете качать mini. Я обьясню что и где в ней нужно запустить и проверить. |
16.06.2010, 19:01 | #3 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Darth Reals,
Ваша задача (при успешной загрузке с любого из предложенных в инструкции LiveCD) попасть в удаленный реестр больной винды и в нем в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon проверить значения у параметров: у Shell должно быть только Explorer.exe у Userinit должно быть только C:\WINDOWS\system32\userinit.exe, (именно с запятой в конце) все лишние записи нужно удалить. А так же удалить сами файлы прописаннные в этих ключах (к примеру там может быть прописано навроде этого Shell=Explorer.exe, C:\Program Files\Common Files\Office\office.exe соответственно нужно удалить C:\Program Files\Common Files\Office\office.exe ) |
16.06.2010, 22:58 | #4 (ссылка) |
Новичок
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
|
01pump,
Большое спасибо, качаю LiveCD, буду прожигать на флэшку, как приду домой - попробую ---------- Добавлено в 21:57 ---------- Предыдущее сообщение было написано в 18:14 ---------- Флэшка заработала, редактирую реестр:-) возникла следующая ситуация - в ключе Shell ничего лишнего нет, а вот в Usernit помимо его самого еще sdra64.exe, twex.exe, icondrv.exe, все расположены в Windows\system32, но проблема в том, что я их там не обнаружил) Последний раз редактировалось 01pump; 16.06.2010 в 23:03. |
16.06.2010, 23:05 | #5 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Darth Reals,
Удалите лишние значения и сделайте логи как написано в ссылке ( если конечно вы качали 140 МБ) Кстати если скачали большой образ то в нем можно инет настроить как в обычной винде. Затем обновить базы drweb и им пролечить комп Последний раз редактировалось 01pump; 16.06.2010 в 23:15. |
16.06.2010, 23:36 | #6 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Darth Reals,
такие логи в вашей винде http://pchelpforum.ru/showpost.php?p=37758&postcount=1 сделайте и пришлите их. |
17.06.2010, 00:22 | #8 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Darth Reals,
Этот файл http://exfile.ru/108343 в корень вашего системного диска при помощи LiveCD сохраните и перезагрузитесь PS Или попробуйте с помощью LiveCD и ERD Commander откатить систему на раннюю точку восстановления. |
Ads | |
17.06.2010, 01:15 | #9 (ссылка) |
Новичок
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
|
01pump,
как оказалось, NTLDR все же был в корне системного диска, хотя я и заменил его, на всякий случай. Но биос все равно говорит мне, что его нет. Откатить не получается( С другой стороны - я сделал лог AVZ на зараженном диске C из LiveCD: http://exfile.ru/108360 |
17.06.2010, 02:17 | #10 (ссылка) | |
Знаток
|
Darth Reals, здравствуйте.
Цитата:
Причин такому сообщению может быть много!!! Для начало проверьте не напортачили вы чего нибудь когда правили ветки реестра! Проверьте системные файлы которые отвечают за загрузку, есть ли они на месте! Проверьте наличие вот этих файлов: C:\boot.ini C:\NTDETECT.COM C:\ntldr C:\Windows\system32\userinit.exe |
|
17.06.2010, 10:41 | #11 (ссылка) |
Новичок
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
|
winshelp, здравствуйте
Проверил реестр - все в порядке. Проверил наличие файлов - все в порядке. Пока что под LiveCD проверяю компьютер на наличие вирусов (уже штук 10 троянов нашел :-D), как закончит - попробую под нормальной виндой зайти снова) |
17.06.2010, 11:08 | #13 (ссылка) |
Новичок
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
|
01pump,
да, это я понял) в меню "Выбор директории Windows" я указываю путь к диску C, далее иду в System Restore, выбираю первый пункт (откат), и мне вылезает табличка "Эта система не имеет точек восстановления. Точки восстановления найдены только на системах Windows XP и более поздних" |
17.06.2010, 11:10 | #14 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Darth Reals,
Такссс.... А теперь давайте выкладывайте свои суперсверхсекретные данные: какая у вас ОС установлена на компе, какой комп. Как вы вообще загружались с флешки. У вас этот комп сейчас под рукой? Сможете с него один лог сделать? |
17.06.2010, 11:22 | #15 (ссылка) |
Новичок
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
|
01pump, да без проблем
Windows XP SP 3 (стоят две винды, обе XP SP3, но сборки разные, одна на C (отдельный хард на 112Гб - рабочая), вторая на D (465Гб - для всякого хлама - ей не пользуюсь, лень было сносить )). Процессор - Pentium 4 3.0 HT Мать - ASUS P5GD2 Premium 2 Гб оперативной памяти Видеокарта - Radeon X700 Pro Как загружал с флэшки: фоткнул флэшку, при загрузке компьютера зашел в Биос, там поставил приоритет загрузки системы с Флэшки, вместо жестких дисков. Ту же операцию проделывал и обратно, но не вышло) Да, сейчас за этим компьютером. Правда понял, что при перезагрузке этой системы, все изменения тоже откатываются так что сеть я уже настраивал раз 10) Лог при помощи AVZ я вчера уже делал, там скан диска C: http://exfile.ru/108360 |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Рекламный блок pornohub | richard3 | Безопасность | 3 | 27.08.2010 13:55 |
Выскочил порнобаннер | Машустик | Безопасность | 12 | 01.07.2010 15:17 |
Баннер pornohub | shtreg | Безопасность | 1 | 03.06.2010 17:01 |
pornohub.com | NikolayTara | Безопасность | 11 | 31.05.2010 15:21 |
Вирус www.pornohub.com | Valli377 | Безопасность | 6 | 30.05.2010 18:07 |
Баннер pornohub.com | Stmas | Безопасность | 17 | 27.05.2010 20:19 |
Информер pornohub | Igg | Безопасность | 2 | 25.05.2010 16:01 |
Порнобаннер пропал, но...! | chan.andrej2011 | Безопасность | 12 | 23.05.2010 21:05 |
Pornohub.com блокиратор | Pain | Безопасность | 21 | 23.05.2010 12:35 |
Баннер pornohub.com | eclectic | Безопасность | 10 | 20.05.2010 12:54 |