Мужики, нуно комп наладить... - Кофейня и курилка

zett

На форуме 18 лет Сообщения: 380 Откуда: Оренбург Авто: Ford С-max 2.0АТ Ghia

# 20 Февраля 2012 11:22

Шуряк притащил ноут с винблокером. Винда стоит семерка.
Винблокер по номеру на касперыче и вебе - не бьется.
Веб с загрузочной флехи шарит только в текстовом режиме, ничо не находит.
Касперыч не прет ваще.
Есть мысли?
зы. ручками я бы еще в хрюше мог покопаться, но семерку не знаю вообще... cry

Art_16R

На форуме 20 лет Сообщения: 613

# 20 Февраля 2012 11:28

zett
скрин давай - посмотрим

zett

На форуме 18 лет Сообщения: 380 Откуда: Оренбург Авто: Ford С-max 2.0АТ Ghia

# 20 Февраля 2012 11:29

Art_16R
Позже выложу, там щаз седняшний веб шуршит - может че найдет.

Goblin

На форуме 20 лет Сообщения: 231

# 20 Февраля 2012 11:38

zett писал(а):

Шуряк притащил ноут с винблокером. Винда стоит семерка.
Винблокер по номеру на касперыче и вебе - не бьется.
Веб с загрузочной флехи шарит только в текстовом режиме, ничо не находит.
Касперыч не прет ваще.
Есть мысли?
зы. ручками я бы еще в хрюше мог покопаться, но семерку не знаю вообще... cry

Свежий Live cd впомощь!

zett

На форуме 18 лет Сообщения: 380 Откуда: Оренбург Авто: Ford С-max 2.0АТ Ghia

# 20 Февраля 2012 11:42

Goblin
Уже и live cd, и live flash, и от Др. Веба, и от Каспера...
Не помогает... cry

Spooler

На форуме 17 лет Сообщения: 610 Откуда: Московская область Авто: ВАЗ 2115i,2006 г.в.=>Chevrolet Aveo(Sedan)-продана.

# 20 Февраля 2012 11:50

1. Запустить windows в безопасном режиме с поддержкой командной строки под учетной записую Администратор;
2. Нажать Ctrl+Alt+Del или Win+R, если первый вариант, то нажимаем Файл – Новая задача (Выполнить…) – regedit, если второй – сразу пишем в командной строке – regedit (редактор реестра ОС Windows);
3. Находим следующий раздел в дереве реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ в правом окне высветиться список параметров, нам необходимо отредактировать пар. Shell (пр. кнопка мыши Изменить) и заменяем все что там есть, приблизительно вот это C:\Program Files\Mozilla Firefox\ 0.17227263084379119.exe на explorer.exe, ОК.(0.17227263084379119.exe — исполняемый файл «вируса»)

Spooler

На форуме 17 лет Сообщения: 610 Откуда: Московская область Авто: ВАЗ 2115i,2006 г.в.=>Chevrolet Aveo(Sedan)-продана.

# 20 Февраля 2012 11:52

Самый верный способ, после всего проделанного удаляем файл вируса. И усе. Он всего то заменяет путь для процесса explorer.exe. редко когда антивирусы его ловят.

Олёшег

На форуме 17 лет Сообщения: 149 Откуда: НиНонах Авто: МоЩЩный какцент

# 20 Февраля 2012 12:02

Spooler писал(а):

нам необходимо отредактировать пар. Shell

Одно время были банеры, которые заменяли нормальный файл userinit.exe на 0103D14.exe
Ща новые банеры во всю прут, когда параметры Shell и userinit в порядке. Загрузка в порядке. Как их удалять, я х.з. Тупо винду сношу.

Пeтpoвич

На форуме 19 лет Сообщения: 813 Откуда: 186 Авто: vaz 21213, SsangYong New Actyon

# 20 Февраля 2012 12:31

Может поможет:
http://nnm-club.ru/forum/viewtopic.php?t=395689

Spooler

На форуме 17 лет Сообщения: 610 Откуда: Московская область Авто: ВАЗ 2115i,2006 г.в.=>Chevrolet Aveo(Sedan)-продана.

# 20 Февраля 2012 13:39

Не встречал еще чего то другого, все однотипны, указывают в реестре какую оболочку подгрузить.

Пeтpoвич

На форуме 19 лет Сообщения: 813 Откуда: 186 Авто: vaz 21213, SsangYong New Actyon

# 20 Февраля 2012 13:42

Spooler писал(а):

все однотипны

Цитата:

Возможно речь идет о винлокере, который прописывается в MBR. Если на экране нет картинок (только текст на черном фоне) и появляется он сразу после пост-экрана, то речь о вирусе в MBR.

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
обычно самые "невыковыриваемые" прописваются тут как папка explorer.exe либо userinit.exe ... а если и там их нет тогда команды bootrec /fixmbr и bootrec /fixboot обычно помогают...

...Попробуй.

oleg 053

На форуме 16 лет Сообщения: 143 Откуда: М.О. Авто: ВАЗ-21053,БСЗ,ГБО

# 20 Февраля 2012 13:47

Мне помогала замена файла userinit.exe на такой же файл с незараженного компа,через Live CD.

Angelier®

На форуме 19 лет Сообщения: 1116 Откуда: Москва, ЮАО, Чертаново Южное. Днепропетровская область (набегами). Авто: ВАЗ - 21103, Снежка

# 20 Февраля 2012 15:17

Давай вотку фотку экрана, код и номер

Goblin

На форуме 20 лет Сообщения: 231

# 20 Февраля 2012 15:28

Spooler писал(а):

1. Запустить windows в безопасном режиме с поддержкой командной строки под учетной записую Администратор;
2. Нажать Ctrl+Alt+Del или Win+R, если первый вариант, то нажимаем Файл – Новая задача (Выполнить…) – regedit, если второй – сразу пишем в командной строке – regedit (редактор реестра ОС Windows);
3. Находим следующий раздел в дереве реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ в правом окне высветиться список параметров, нам необходимо отредактировать пар. Shell (пр. кнопка мыши Изменить) и заменяем все что там есть, приблизительно вот это C:\Program Files\Mozilla Firefox\ 0.17227263084379119.exe на explorer.exe, ОК.(0.17227263084379119.exe — исполняемый файл «вируса»)

Яб сперва посоветовал запустить explorer, далее msconfig и смотреть что там в автозагрузке левого, далее поиск с учетом реестра этого "левака". Не нужно эзерам советовать ковырять ветки реестра, это часто чревато бывает, если только на крайняк.

zett

На форуме 18 лет Сообщения: 380 Откуда: Оренбург Авто: Ford С-max 2.0АТ Ghia

# 20 Февраля 2012 19:37

Залечил.
Сегодняшний Лайвсиди от др. Веба гонял диски 8 часов, но увидел и уничтожил супостата. Вчерашняя версия заразу в упор не замечала.
Всем спасибо! Drinks or Beer

Показать сообщения:

Перейти:

ИНФОРМАЦИЯ ПО ИКОНКАМ И ВОЗМОЖНОСТЯМ