Реклама на forum.workoffice.ru
Программатор чипов CrumProg by GenaAlfa

Автор Тема: Интересный банер  (Прочитано 5779 раз)

0 Пользователей и 1 Гость просматривают эту тему.

A3a3eJlJlo

  • Junior Member
  • **
  • Сообщений: 43
  • Репутация: +0/-0
    • Просмотр профиля
Интересный банер
« : 26 Сентября, 2011, 06:16:14 »
Здраствуйте!!!У моего знакомого попался один такой!!!Проблема вся в том, что с ним процесс Explorer полность отключается при включение и диспечер полностью не функционирует
=(ну и как и все просит денег!что можно сделать с этой проблемой?в биосе менял время и дату, не помагает!как от него избавиться?

Ярек Лама

  • Advanced Member
  • *****
  • Сообщений: 5678
  • Репутация:+456/-0
Интересный банер
« 26 Сентября, 2011, 06:16:14 »
Неважно, что ты делаешь, лишь бы переделывать никому не пришлось.

Grigor

  • Advanced Member
  • *****
  • Сообщений: 3528
  • Репутация: +156/-202
    • Просмотр профиля
Re: Интересный банер
« Ответ #1 : 26 Сентября, 2011, 07:10:47 »
грузиться с ERO commander, например,  и править реестр,
задачка довольно непростая для непосвященных,
если домашний проще систему поменять

red03

  • Junior Member
  • **
  • Сообщений: 67
  • Репутация: +3/-0
    • Просмотр профиля
    • E-mail
Re: Интересный банер
« Ответ #2 : 27 Сентября, 2011, 01:01:25 »
грузиться с livecd - восстанавливать сис. файлы(userinit.exe taskmgr.exe обычно)
подгружать рабочий реестр(ERD commander или regedit-загрузить куст) и смотреть HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
параметры shell=Explorer.exe Userinit=C:\WINDOWS\system32\userinit.exe,

ArtEs

  • Junior Member
  • **
  • Сообщений: 185
  • Репутация: +1/-0
    • ICQ клиент - 492007388
    • MSN клиент - artes67@msn.com
    • Просмотр профиля
    • E-mail
Re: Интересный банер
« Ответ #3 : 17 Октября, 2011, 17:43:13 »
Задай поиск в Яндексе (ваш комп заблокирован за просмотр ...) - получишь подробнейшую инструкцию по борьбе с этой гадостью (даже в картинках). Это не совсем вирус, поэтому многие антивирусы это пропускают.
Часто банер исчезает сам, если на пару-тройку часов "забить" на комп, но не выключать. Но все равно надо вручную потом чистить реестр и вернуть на место пару подмененных этой гадостью файлов.

Salec

  • Full Member
  • ****
  • Сообщений: 428
  • Репутация: +9/-1
    • ICQ клиент - 326425201
    • Просмотр профиля
    • E-mail
Re: Интересный банер
« Ответ #4 : 17 Октября, 2011, 18:58:02 »
http://revisal.ru/50-fdgsfgdsfg.html
Баннер с именем 22CC6C32.exe нового поколения, который сидит в папке c:\Documents and Settings\All Users\Application Data\. Меняет файлы userinit.exe и taskmgr.exe на свои заражённые, с низменным кодом. Мало того он изменяет эти файлы так, что при запуске системы userinit.exe запускает другой файл такой же userinit.exe, только тот, который является резервным для восстановления системы. а эта пакость генерирует файл 22CC6C32.exe по указанному выше пути.

У файла userinit.exe, который лежит в папке c:\WINDOWS\system32\dllcache\ есть отличие, у него иконка квадрат серого цвета. В свою очередь не похожий на оригинал, что его и выдаёт.

И так к сути проблемы:
Грузимся с Live-CD или подобным ему, удаляем баннер находящейся в папке c:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Меняем заражённые файлы c:\WINDOWS\system32\userinit.exe, c:\WINDOWS\system32\dllcache\userinit.exe и c:\WINDOWS\system32\taskmgr.exe, c:\WINDOWS\system32\dllcache\taskmgr.exe на здоровые. Если есть файл «03014D3F.exe» в папке windows/system32 то переименовываем из 03014D3F.exe в userinit.exe).Вы не можете скачивать файлы с нашего сервераВы не можете скачивать файлы с нашего сервера

Идём в ветку реестра Вашей винды HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и меняем значение параметра на Explorer.exe ( было значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe а стало Explorer.exe")

Значения параметров для работоспособности системы:
Shell - Explorer.exe
UIhost - logonui.exe
Userinit - C:\Windows\system32\userinit.exe,

А том как зайти в ветку реестра Вашей винды:

Пуск >> Выполнить >> regedit и жмём Enter. Откроется редактор реестра.
Выделить раздел HKEY_LOCAL_MACHINE, меню Файл, пункт Загрузить куст.
Выбрать диск на котором установлена Windows (буква может отличаться от С), и откройте файл: С:\Windows\System32\config\SOFTWARE.
Вводим любое имя для загружаемого раздела. Например - 888.
Переходим в раздел HKEY_LOCAL_MACHINE\888\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Вот собственно и все что нужно сделать для удаления этого баннера с именем 22CC6C32.exe

либо качать
1.taskmgr
2.userinit
« Последнее редактирование: 17 Октября, 2011, 18:59:53 от Salec »

ksv36

  • Newbie
  • *
  • Сообщений: 13
  • Репутация: +0/-0
    • Просмотр профиля
    • E-mail
Re: Интересный банер
« Ответ #5 : 24 Октября, 2011, 01:49:41 »
Проще всего скачать с сайта ESET загрузочный образ, записать на болванку  и загрузится с него. На рабочем столе будет ярлычок "Fix userinit". Воспользуитесь этим ярлычком и и будет вам счастье. Не забудьте заодно проверить диски антивирусом, который прилагается.

Pandorys

  • Junior Member
  • **
  • Сообщений: 83
  • Репутация: +2/-3
    • Просмотр профиля
Re: Интересный банер
« Ответ #6 : 05 Апреля, 2012, 02:26:09 »
Проще всего скачать с сайта ESET загрузочный образ, записать на болванку  и загрузится с него. На рабочем столе будет ярлычок "Fix userinit". Воспользуитесь этим ярлычком и и будет вам счастье. Не забудьте заодно проверить диски антивирусом, который прилагается.
А на практике испробовано? Мне кажется, что это нереально. Звучит всё просто, но поможет ли? Хотелось бы узнать подробнее.
Задай поиск в Яндексе (ваш комп заблокирован за просмотр ...) - получишь подробнейшую инструкцию по борьбе с этой гадостью (даже в картинках). Это не совсем вирус, поэтому многие антивирусы это пропускают.
Часто банер исчезает сам, если на пару-тройку часов "забить" на комп, но не выключать. Но все равно надо вручную потом чистить реестр и вернуть на место пару подмененных этой гадостью файлов.
это больше похоже на правду. Спасибо, за совет!

SiD

  • Advanced Member
  • *****
  • Сообщений: 946
  • Репутация: +27/-7
    • ICQ клиент - 6270745
    • Просмотр профиля
    • E-mail
Re: Интересный банер
« Ответ #7 : 10 Апреля, 2012, 13:52:53 »
мне в данном вопросе каспер нравится... каспер реск диск... там и анлокер есть... единственное что руками править приходится, это маячок....а по поводу "пропадёт сам" , ни разу не встречал))
« Последнее редактирование: 10 Апреля, 2012, 13:55:54 от SiD »