Если не ошибаюсь, вирус сидит в All Users\Application Data, exe'шник там. Дюже часто попадается. Помимо удаления самого вируса (+чистка реестра/темпы) нужно заменить userinit.exe в папке C:\Windows\System32. Взять с любого не зараженного компа.
В.В.Путин сорри, проскочил твой пост, не заметил. Тоже самое написал.
[Ответ]
GLOKKE 10:59 25.07.2011
а как цена варьируется чтобы убрать баннер, подскажите плиз?
[Ответ]
3zh1k 15:30 25.07.2011
GLOKKE, от 300р.
тема удаления "подменщика userinita'a" в этом топе изжована, думаю пора начать обсуждать блокеры, меняющие ntldr и загрузочную запись. Недавно столкнулся, на месте сразу выявить заразу не удалось, т.к. раньше с подобными не сталкивался. Теперь ношу с собой на флэшке файл ntldr. Ну и м.б. кто-нить посоветует утилитку, делающую "fixmbr"
[Ответ]
VitohA 18:35 25.07.2011
3zh1k, это всё erd commander делает, не надо много дисков, файлов на флешке. Вдобавок мелкомягкие ещё выпустили его улучшеную версию - Standalone System Sweeper.
[Ответ]
ram777 16:34 26.07.2011
3zh1k, fixmbr" можно стандартными средсвами восстановления вставляешь с загзузочный диск с виндой После загрузки установочного диска, вам будет предложен выбор действий. Нажмите кнопку R для выбора режима восстановления. Система предложит выбрать какую ОС из найденных восстанавливать. Нажать нужную цифру (обычно 1) и Enter. Если на учетную запись Администратора был установлен пароль, то потребуется его ввести, иначе просто нажать Enter. Появится Консоль восстановления, где ввести команду FIXBOOT и нажать Enter, попросят подтвердить - нажать Y. Теперь ввести команду FIXMBR, нажать Enter и опять для подтверждения нажать Y. На этом лечение MBR баннера закончено, введите команду EXIT и перезагружайтесь. Загружайтесь обычном способом.
проверено пару компов с вирусами которые ломают загрузчик и кстати если грузится с лайвсиди доктор веб куреит легко этот вирус находит!
[Ответ]
XEHKOK 11:38 02.09.2011
такая проблемка был этот банер проверил каспером убил все, в реестре глянул все гуд шэл нетронуты, винлогон и узернит подкинул новые в сюстем 32, при запуске входит и сразу завершение работы, где копать?
[Ответ]
VitohA 11:40 02.09.2011
Сообщение от XEHKOK:
такая проблемка был этот банер проверил каспером убил все, в реестре глянул все гуд шэл нетронуты, винлогон и узернит подкинул новые в сюстем 32, при запуске входит и сразу завершение работы, где копать?
logonui.exe на оригинальный попробуй заменить, ему тоже от локеров достаётся.
[Ответ]
XEHKOK 11:50 02.09.2011
VitohA, непомогло, впринципе делал востановление системы через r та же бяда он долден был как бы заменять эти файлы впринципе и править реестр но почему то таже бяда, вот задумываюсь что до этого подгружается иль не дает загружать этот файлы что сразу идет завершение сеанса ковыряю реестр и просто в недоумении
[Ответ]
VitohA 12:09 02.09.2011
XEHKOK, что в системном журнале по этому поводу написано? Что за события? Посмотреть можно тем же erd-коммандером.
[Ответ]
XEHKOK 13:01 02.09.2011
свежих нету ошибок до этого писал
ид 7026 / сбой при загрузке драйвера перезагрузки или запуска системы MpFilter/viaagp1
[Ответ]
VitohA 13:17 03.09.2011
Сообщение от XEHKOK:
ид 7026 / сбой при загрузке драйвера перезагрузки или запуска системы MpFilter/viaagp1
Врядли от этой ошибки разлогинивается. Идей нет, если все системные файлы родные, автозагрузка без подозрительных файлов, то остаётся только групповые политики смотреть на предмет действий после логина, либо научным тыком - антивирус поновее, может как-то получится обновки установить, нового пользователя создать - как он себя поведёт и т.п.
[Ответ]
В.В.Путин 20:16 04.09.2011
Сегодня обнаружил "нововведение" - переименован не только userinit.exe, но и taskmgr.exe. Сидит себе и ждёт, когда счастливый юзер запустит диспетчер задач. Если кому надо - могу выложить зверьков для опытов.
[Ответ]
VitohA 20:50 04.09.2011
В.В.Путин, мы, конечно, не кулхакеры, но посмотрим с удовольствием))
[Ответ]
В.В.Путин 21:21 04.09.2011
Сообщение от VitohA: В.В.Путин, мы, конечно, не кулхакеры, но посмотрим с удовольствием))
Пользуйтесь на здоровье
Надеюсь Вы отдаёте себе отчёт в том, что это такое и как с этим бороться в случае чего. AVG (тот, что бесплатный) чуть не сошёл с ума, пока я их упаковывал, пришлось отключить на время. Непонятно только, почему ни один антивирусник не видит их в момент "заселения".
Изображения
Сообщение от В.В.Путин:
Надеюсь Вы отдаёте себе отчёт в том, что это такое и как с этим бороться в случае чего. AVG (тот, что бесплатный) чуть не сошёл с ума, пока я их упаковывал, пришлось отключить на время
На это и рассчитываю)) Целый день заниматься любимым делом! Спс!
[Ответ]
В.В.Путин 21:47 04.09.2011
VitohA, тогда смело запускай exe-шник , жаль, все три не успеешь.
[Ответ]
