|
|||||||||||||||||||
|
|||||||||||||||||||
|
|||||||||||||||||||
![]() |
Новости CForum.ru02.11. [Маркетинг] 09.01. [Маркетинг] 09.01. [Маркетинг] 28.02. [Маркетинг] 01.10. [Бизнес] Роботренды. Что нового в мире роботов и дронов / CForum.ru 24.04. [Бизнес] 13.10. [Бизнес] 06.10. [Бизнес] 18.09. [Бизнес] 24.08. [Бизнес] Мобильные телефоны на MForum.ru28.09. [ 27.09. [ 27.09. [
![]() |
![]() |
Для разблокировки компьютера баннер требует пополнить мобильный счет абонентаТему создал(а): mishemokva
Фильтр: показаны только сообщения от rndpiter 22.12.2010 21:02 От: rndpiter ![]() На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней: Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большоу за помощь. Не пришлось переустанавливать винду. На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней: Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большое за помощь. Не пришлось переустанавливать винду.
Вставьте CD диск с программой ERD Commander 2009 в CD\DVD привод заражённого баннером компьютера. Поскольку баннеры блокируют мышь и клавиатуру, то для загрузки ERD c CD-диска, можно нажать кнопку Reset для перезагрузки компьютера (установка приоритета загрузки с CD ROM хорошо описана в подробной инструкции по удалению баннера с помощью LIVE CD & ERD Commander). Особенности загрузки ERD также описаны в вышеупомянутой инструкции, поэтому начнём более подробно с уже загруженного, Рабочего стола ERD Commandera.
HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и под этими строками имя и путь файла вредоносного файла(если конечно файл баннера прописался в этих строках реестра). Для удобства разверните окно на полный экран. Форумчанам известно правильное значение этих строк, а именно: 1) Необходимо, что бы в строковом параметре Userinit было прописано: C:\WINDOWS\sistems32\ userinit.exe, а весь текст, что будет после запятой, содержит путь и имя файла вируса и подлежит удалению. 2) Необходимо, что бы в строковом параметре Shell было прописано: Explorer.exe, а всё то, что после, это путь и имя файла вредоносного вируса и подлежит удалению. То есть мы сразу определим, где и в какой папке находится вредоносный файл баннера и его имя. А это, согласитесь, уже немало! Запоминаем или записываем путь и имя файла. Закрываем окно. Снова Start –> Explorer –>Открывается знакомое окно файлового Explorer. Ищем нужную папку, вредный файл и удаляем его. Как вариант:
можно вызвать файловый Explorer и не закрывая предыдущего окна – правым кликом мышки на строчке пути к файлу.
Там два выбора: Delete и Explore… Выберем Explore..., ищем и удаляем хрень. (Delete не пробовал - поэтому не рекомендую, можно удалить чего-нить лишнее)
ЗЫ. Попробовал загрузить скрины в этот пост, но не получилось(не знаю как). Сегодня мой товарищ словил баннер и попросил скорой помощи(Win XP) Может кому пригодится технология моей войны с гадом. На зажатые Ctrl-Alt-Del не реагировал, т.е. вызвать моргающий Диспетчер задач не получилось. Тогда загрузил ERD Commander 2009 ->Start –> Administrative Tools –> Autoruns --> System. В правом части открывшегося окна сразу же увидел состояние Shell и Userinit реестра. В строчке Userinit всё было в норме(C:\WINDOWS\sistems32\ userinit.exe,), а в строчке Shell вместо (Explorer) прописался файл баннера arkml.exe(см.ниже). Правый клик на имени файла и выбираем: Explore…, после чего увидел месторасположение(c:Windows\arkml.exe) и тут же прибил гада(перед тем сохранил его в сухом и прохладном месте С помощью его кое-что нужное разблокировал. После прогнал DrWeb и тем-же AVZ для надёги. Вроде чисто. Файл вируса я сохранил, если есть к нему интерес, могу заархивировать и прислать мылом по указанному адресу. ЗЫ. Звиняйте за фото, снимал с экрана. Пока не могу фоткать из ERD Commandera, кто знает - научите. 29.01.2011 00:24 От: rndpiter ![]() zaruta 28.01.2011 22:14:rndpiter 28.01.2011 21:47: Уже у Вас, на адрессе. mrbelyash 19.05.2011 19:57:Denisssr1 19.05.2011 19:55:Вы не поняли Звиняйте что встреваю, но у меня тоже нет загрузки с флешки DrWeb_LiveUSB.
Скачал. Разов пять перезаписывал с форматированием и флешки менял - бесполезно. Complete in 235 ms, lookup=0 ms, find=235 ms
![]() |
![]() |
||||||
|