На зараженном компьютере загрузитесь с диска LiveCD и с него подключитесь к реестру зараженной Windows, поправите несколько значения реестра и через Проводник или Тотал командер почистите подозрительные файлы на зараженном компьютере. Дальше я подробно опишу как записывать LiveCD на болванку и как загружаться с нее...
Вставляете диск в привод (или подключаете флешку) и загружаетесь: – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter – выберите необходимый язык из списка – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения – установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск – выберите Kaspersky Registry Editor Откроется редактор реестр – выберите нужную систему (та, которая заблокирована), если у Вас их несколько по материалам virusinfo.info
Проверьте наличие в реестре папки HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe если есть, то удалите ее.
Конечно, это можно относится и у другим файлам, например процесс Диспетчера задач
Отправлено: 26.11.11 19:01. Заголовок: Ребят сделала всё ка..
Ребят сделала всё как написано... не помогло но когда открула редактор у меня вот этих строк совсем не было HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Session Manager. Помогите плиз
Отправлено: 04.01.12 12:36. Заголовок: также стоит изучить ..
также стоит изучить
Автозапуск из особого списка
Программы могут запускаться и из следующего раздела реестра:
цитата:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
Параметры:
"load"="programma" — программы запускаемые до входа пользователя в систему: "run"="programma" — программы запускаемые после входа пользователя в систему.
Эти параметры — аналог автозагрузки из Win.ini в Windows 9х. Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:
цитата:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "load"="iexplore.exe" "run"="notepad.exe"
Самый примитивный способ старта зловреда через папку Автозапуск. Но местоположение этой папки можно изменить, и поэтому поиск зловреда может быть усложнен при ручной зачистке:
Смена папки автозагрузки
Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:
цитата:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders] "Common Startup"="%ALLUSERSPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для всех пользователей системы. [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \User Shell Folders] "Startup"="%USERPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для текущего пользователя.
Сменив путь к папке мы получим автозагрузку всех программ из указанной папки. Например:
цитата:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders] "Startup"="c:\mystartup" — система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.
Не зарегистрирован
Зарегистрирован: 28.04.12
Репутация:
0
Отправлено: 28.04.12 14:21. Заголовок: Мне удалось!!
Спасибо Автору! http://antivir.h18.ru/metodika/0031.html Мне удалось убрать баннер через загрузку с LiveCD. После прошелся по указанным данным реестра и ЧУДО - пропал проклятый!!
Спасибо Автору! Однако есть такой вот вопрос - сделав всё по советам автора/ручное ред. реестра/, а затем загрузившись с Kaspersky Rescue Disk 10 получил вроде как решение проблемы с банером - он пропал, однако пропала и активация семёрки. Вот и думаю, где я напортачил в чистке реестра, или ещё в чём? Тут вот "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run Вы зашли в ветку, в которой (справа) видно, что грузится вместе с Windows - удалите подозрительные записи. Также удалите подозрительные записи здесь: HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" Я , как помню поудалял там кой какие записи и вопрос бы по признакам подозрительности файлов, хотелось бы обсудить, может я чего то там не того удалит? И по ходу вопрос - как могла/в результате каких действий/ могла слететь активация Винды? Или может касперский поспособствовал?
shtrek Признаки подозрительности - это подозрительное имя файла, подозрительное расположение файла. Например, если файл во временной папке и в автозапуске, то высокая вероятность что это зловред. Кстати, в этой инструкции в конце идут примеры подозрительных папок. Но если у зловреда есть права админа, то он может выглядеть как какой-то нужный файл. В общем, тут нужна тренировка. Посмотрите разделы "помогите" на сайта вирусинфо и касперского - рассмотрите скрипты лечения, которые делают хелпперы пользователям, так вы сможете получить больше представления об отличии зловредных записей от нормальных.
А по теме удаления баннеров, советую иметь LiveCD AntiSMS под рукой - отличное средство для удаления троянов одним кликом мыши.
Получилось... Однако тоже какие то заморочки - при входе, появляется текст - "Вход в систему выполнен с временным профилем" Настраиваю рабочий стол/фон и прочее/... Перезагружаюсь и опять та же байда - "Вход в систему выполнен с временным профилем" зы. после входа смотрю активацию - комп- св-ва - активации нет, а через пару сек. появляется надпись о том, что активация выполнена. перезагружаюсь и опять - смотрю активацию - комп- св-ва - активации нет, а через пару сек. появляется надпись о том, что активация выполнена. никогда таких заморочек не было, вот и думаю может зловред мне чего то напортил в системе?!
было две папки, имена которых начинаются с S-1-5 и содержат одинаковое длинное число, причем имя одной папки заканчивается на .bak.
переименовал их, как предлагалось значение ProfileImagePath было в разных папках разным C\User\Temp и C\User\Штрек
И вот я по недоумию сделал их одинаковыми C\User\Штрек хотя может это и нормально и ошибка была в чём то другом/см. ниже/
RefCount в обеих папках был равен изначально равен 0 а вот с разделом State вышла непонятка мелкософтные пишут надо вставить значение 0, а на картинке стоит 100 я поставил 100/было 8100/ перезагрузился получил нормальный/вроде/ вход с профилем Штрек, хотя почему то с черным фоном. Пытаюсь изменить фон раб. стола - ни хрена не меняется. Думаю надо всё таки проставить State равным нулю, правлю
и
получаю вход нормальный и сразу запрет входа из за каких то сетевых заморочек вход запрещён. Т.е. зайти в винду не могу в принципе. Запускаю Live CD от Касперского/там есть вариант редактора реестра/ правлю всё назад, т.е. обратно переим. и прочее. Значение ProfileImagePath поставил как было и тут вроде и произошла рок. ошибка - когда переименовывал папки они поменялись местами и видно я значения State перепутал.
и
получил гораздо большую проблему -
пропала моя профильная папка с именем Штрек/хотя при правке реестра у одной из папок нач. с S-1-5 у ProfileImagePath была ссыла на мою профильную папку Штрек была и папок с именем нач. с S-1-5 было две - в одной ProfileImagePath ссылался на C\User\Temp вторая на C\User\Штрек видно с значениями State была перепутка перезагрузился имею нормальный вход - раб. стол правится, а вот захожу в C\User и папки Штрек нету, а вот появилась папка Temp, которой раньше не было/.
теперь есть только вроде как новая папка по имени Temp которая теперь является моей профильной. В папке Штрек было много много чего, в том числе пару вердовских док. с важными записями. Её, .ля винда удалила. Искал её на компе по названии Штрек - хрена вам - не находится. Может кто подскажет - можно ли её как то/с божьей помощью, или какой то прогой восстановить/? Мне бы её просто найти, а профилем я её как то сделаю/или просто из неё заберу важные для меня файлы вердовские./ зы. или может попробовать откатить систему? восстановит ли это папку Штрек?
зы. категорически извиняюсь перед админом за много бУкф, однако думаю мой пример будет о том, что править вручную реестр надо с большой осторожностью...
Все даты в формате GMT
3 час. Хитов сегодня: 0
Права: смайлы да, картинки да, шрифты да, голосования нет
аватары да, автозамена ссылок вкл, премодерация откл, правка нет