[решено] Баннер на рабочем столе - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Баннер на рабочем столе (http://forum.oszone.net/showthread.php?t=208051)

Баннер на рабочем столе

Доброго времени суток! Пойман баннер-вымогатель. Логи выложить не могу-не загружается ни в каком режиме, включая с поддержкой командной строки. В биос для загрузки LiveCD войти не дает. Прошу помощи!

Цитата:

Цитата Neza

В биос для загрузки LiveCD войти не дает. »

подробнее... Что за диск?

Заполните профиль.

Пробовала загрузочную флешку Alkid Live CD. Но в биос все равно зайти не могу, а в приоритете стоит загрузка с HDD

Neza, при загрузке понажимайте функциональные клавиши (везде разные, но обычно F2, F11, F12) и принудительно укажите загрузочное устройство.

F2, F11- не работает, F12- выбор предоставляет, но с флешки не грузится

Предлагает обычную загрузку или безопасную и продолжает загрузку с жесткого

Neza, раздел на флэшке - один? Он активный? CD загрузочный можете записать?

Да, один, активный. Могу

Воспользуйтесь или ftp://ftp.drweb.com/pub/drweb/liveus...webliveusb.exe - загрузочная флэшка
или ftp://ftp.drweb.com/pub/drweb/livecd...livecd-600.iso - LiveCD
и пролечитесь

попробуйте коды

ekol

jail

777888

zpo4301

zzp0193

281056

098SWO

875082

сколько лет компу ? некоторые материнские платы позволяют вызвать меню загрузки -НDD, CD\DVD

нажатием кнопки F1, F2, F9,F11, Esc и тд. у каждого производителя своя кнопка в этом меню можно выбрать CD\DVD и загрузится с него LiveCD

Флешка не пошла, диск запустился

Компу 3 года, отреагировал только на F12

Проверка диском ftp://ftp.drweb.com/pub/drweb/livecd...livecd-600.iso - LiveCD - ничего не найдено, коды не подошли

Баннер нашла - это 22cc6c32.exe, удалила, осталось исправить записи в реестре. Подскажите, как это сделать через Midnight Commander?

Midnight Commander не позволяет редактировать реестр

1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Исправьте в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

правильное значение - буква системного диска:\windows\system32\userinit.exe,

параметр

Код:

shell

правильное значение - explorer.exe

Диск с ERD Commander не запускается

ERD Commander- не идет ни одна версия, с помощью чего еще можно войти в реестр?

Regedit PE 1.1.2.0 - не вирус!!!

Комп не видит флешки-надо что-то другое

Теперь я могу войти еще и в биос. Может, есть какие варианты?

Цитата:

Цитата Neza

Диск с ERD Commander не запускается »

Делали как сказано по ссылкам http://www.google.by/search?client=o...hannel=suggest ???

Цитата:

Цитата Neza

Баннер нашла - это 22cc6c32.exe, удалила, осталось исправить записи в реестре »

Попробуйте еще сделать написанное
здесь

Вроде все получилось, выкладываю логи

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('C:\Temp\NOSEventMessages.dll','');

 DeleteFile('C:\Temp\NOSEventMessages.dll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OviSuite','EventMessageFile');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) - - (no file)

Сделайте лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Сделала. Отчет этот нужен?

Neza, удалите найденное в МВАМ

Цитата:

Цитата SolarSpark

Сделайте лог RSIT »

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

что с проблемой?

Проблем нету, тему можно закрывать

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Спасибо за помощь!