22.12.2010, 19:45 | #1 (ссылка) |
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Баннер, блокирующий винду
На компьютер залез баннер , вот по виду такой : http://dbc-www.kaspersky-labs.com/db...warning%5D.png
но только вместо номеров на изображении предлогается положить 400 рублей с помощью таких сервисов: для Билайна смс с текстом 9053125716 400 на номер 3116 для Мегафона смс с тем же текстом на номер 84444 для МТС ввести комманду *115*, выбрать связь Билайн и ввести телефон 9053125716 и сумму 400 Баннер блокирует все остальное, то есть вокруг него черный экран Он блокирует в CTRL+ALT+DELETE строку Диспетчер задач ( у меня винда 7 ) Работает только в безопасном режиме с поддержкой коммандной строки. Я попробовал оттуда почистить все папки TEMP, провел сканирование программой Cure It!, которая показала 50 результатов. После их удаления проблема не исчезла. Так же банер заблокировал свойстава Компьютера, Панель управления (с сообщением, что нужно обратиться к администратору) Восстановление сисетмы не смог произвести с ошибкой в каком то файле директории Windows Выполнил скрипт номер 2 и 3 в программе avz (опять же, через безопасный режим с поддержкой коммандной строки), проблема не была решена , но лог вот: http://webfile.ru/4999730 Помогите пожалуйста!!! Сижу у друга, потому что на моем компе и в инет выйти немогу из-за банера. |
22.12.2010, 19:51 | #2 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Maniakxxl, попробуйте.
Подойдет любой Live CD 1. Скачайте образ, например: ERD Commander, запишите на болванку и загрузитесь с созданного диска 2. Пуск - Выполнить - erdregedit 3. Посмотрите в реестре: Ветка Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Код:
AppInit_DLLs Ветка Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Правильное значения для Userinit это Код:
C:\WINDOWS\system32\userinit.exe, |
22.12.2010, 20:39 | #5 (ссылка) |
Мастер
|
Maniakxxl, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Maniak\AppData\Local\Temp\mnigto32.dll',''); DeleteFile('C:\Users\Maniak\AppData\Local\Temp\mnigto32.dll'); DeleteFile('lmkrnl.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. Последний раз редактировалось Iljeben; 22.12.2010 в 20:45. |
04.01.2011, 15:41 | #6 (ссылка) |
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Извеняюсь, что долго не отвечал.
Дела обстоят следующим образом: Параметр AppInit_DLLs я не нашел, там был только 1 параметр и это не он. Userinit было стандартным. Значение Shell было изменено на какой-то файл в папке Windows. Изменил его на эксплорер, компьютер загрузился. Банера больше нет, однако проблем после него осталось вагон и маленькая тележка: - Не работает рабочий стол. То биш на нем нет файлов, он не реагирует на нажатие кнопок мыши. Однако меню ПУСК функционирует, но вот незадача там нету строки ПУ. -Диспетчер задач. Его нету . В CTRL+ALT+DEL все еще отсутствует этот пункт. -Нельзя зайти в ПУ, Свойства компьютера, regedit, потому что вылазит такая ошибка: Операция отменена вследствии действующих для компьютера ограничений. Обратитесь к администратору сети. Файл, на который ссылался реестр как на проводник я удалил от греха подальше. Сделал проверку компьютера нодом, ничего не было обнаружено. Ах да, еще в папке Windows появились странные файлы без разширений ( некоторые из них : PRRtmJ, HOD2sD, LhfgQQNYk и т.д. ), их там больше 20 штук. Лог avz: http://webfile.ru/5026019 Помогите плииз |
04.01.2011, 15:54 | #7 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin ExecuteRepair(5); ExecuteRepair(11); ExecuteRepair(17); RebootWindows(true); end. Повторите лог АВЗ + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
04.01.2011, 16:10 | #10 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin ExecuteRepair(5); RebootWindows(true); end. |
04.01.2011, 16:14 | #11 (ссылка) |
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Все, теперь все просто супер! Все вышесказанные проблемы исчезли, все работает! Огромнейшее спасибо, ребят!
Новые логи: http://webfile.ru/5026110 Тут все нормально? |
04.01.2011, 16:24 | #12 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Да все хорошо. На этом можно закончить.))
Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендую вам придерживаться этих правил: 1.Всегда работайте только под обычным пользователем! 2.Используйте браузер Firefox с дополнением NoScript Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения 3.Устанавливайте обновления и патчи Windows. 4.Ежедневно обновляйте антивирусные базы. 5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол). |
04.01.2011, 16:57 | #14 (ссылка) |
Заблокирован
Знаток
Регистрация: 19.08.2009
Сообщений: 2,286
Репутация: 153
|
а лучше Opera, и без дополнений...
как тогда запускать программы? не, тут надо родительский контроль, через админа поставить что можно запускать, а остальное чтоб вообще ничего не запускалось...в особенности если винда пиратская, ключ будет просить кайфово)) От себя добавлю - если есть джава на компе - надо запретить автоматический запуск программ из инета, и все... антивирус советую AVG Free или AVAST... если нужна очень надежная защита, которая будет сканировать буквально все, советую Авиру... но у Авиры один глюк... она может посчитать что вирус есть даже в пэинте... |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Посоветуйте винду | uPkiLL | Windows XP | 5 | 04.10.2010 12:59 |
архиватор на винду 7 | Любитель2010 | Утилиты | 3 | 18.08.2010 22:29 |
Порно банер, блокирующий всё | Kenny66 | Безопасность | 1 | 26.06.2010 16:44 |
Проверьте пожалуйста логи. Поймал вирус блокирующий доступ к сайтам антивирусов | Riso | Безопасность | 3 | 24.05.2010 23:58 |
Вирус блокирующий браузер | Ванцес | Безопасность | 3 | 15.04.2010 16:59 |
Вирус, блокирующий доступ в сеть. | Asfixia | Безопасность | 13 | 18.12.2009 23:06 |
где найти винду? | Mana | Windows 7 | 21 | 16.11.2009 04:32 |
Как установить винду? | aleksdmi | Windows XP | 1 | 03.10.2009 12:14 |
как изменить винду | ganjikden | Windows XP | 5 | 09.03.2009 19:57 |
Не загружает винду | rodnoi | Windows XP | 2 | 21.11.2008 19:34 |
Убить винду?? | memphis | Windows XP | 2 | 02.02.2008 11:10 |