|
На страницу « 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109 » |
|
|
|
|
C нами с 21.09.2006 Репутация: 95.7
|
|
Пару раз обходился простым нахождением и введением кода.
Но однажды никакие коды не подходили. Пришлось покувыркаться:
Просмотр полной версии : Лечение от баннеров
————————————————————————————————————————
Vitokhv18.02.2011, 07:34
Эта тема поможет пользователям избавиться от любого баннера.
Для того, чтобы это осуществить нам понадобится:
CD диск или флешка (если флешка то еще и программа UltraISO)
Образ - WinPE_uVS (http://hotfile.com/dl/113147010/19f7a1e/WinPE_uVS.iso.html) (101Mb)
MD5: 98E1BF5A6CA8B7DB800D9BEBDD8B74C9
SHA-1: 5A3186D2898F8D261852B7D3D0E3BC8090BD18AE
Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск/флешку и в нем файл Win7PE_uVS.iso то НЕ правильно))
Вставляете диск или флешку, перезагружаете компьютер, и при загрузке нажимайте (однократно) клавишу F8 до появления синего меню (еще бывают клавиши F12 и Esc для нутбуков):
В меню выбираем или загрузка с CD-DVD привода или с флешки Flash
http://dl.dropbox.com/u/17655378/usb/snowosx-menus.jpg
После загрузки появится окно:
Выберите в нем TotalCommander и нажмите GO
http://dl.dropbox.com/u/17655378/usb/sshot-2.PNG
Далее ищем свою флешку или диск (она подписана как WinPE_uVS)
http://dl.dropbox.com/u/17655378/usb/tc1.png
На флешке или диске ищем файл start.cmd и запускаем:
В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система)
http://dl.dropbox.com/u/17655378/usb/sshot-48.JPG
1) В первую очередь жмем кнопку "Выбрать каталог Windows"
http://dl.dropbox.com/u/17655378/usb/uvs5.png
2) Выбираем папку WINDOWS (если ее нет на диске C:\ она обязательно должна быть на других дисках)
http://dl.dropbox.com/u/17655378/usb/uvs2.PNG
3) Далее останется запустить программу, нажав "Запустить под текущим пользователем"
http://dl.dropbox.com/u/17655378/usb/uvs6.png
Как откроется окно, жмем по вкладке - "Файл" выбрать "Сохранить полный образ автозапуска" и сохранить в любом жестком диске.
После чего жмем по вкладке "Дополнительно" выбираем "Твики.." и кликаем по кнопке №12 "Сброс ключей Winlogon в начальное состояние" закрываем и жмем сочетание клавиш Alt+Del
Останется удалить подозрительные файлы, те, что бросаются в глаза, например:
xxx_video_3242.exe / svhost.exe / 22cc6c32.exe
Нажимаете правой кнопкой мыши по файлу вируса и выбираете "Добавить сигнатуру файла в вирусную базу" и жмите клавишу F7 - теперь программа становится антивирусом и ищет сигнатуру во всех файлах (должна появиться еще подобная строчка с таким же именем вируса)
Предупреждаю! перед удалением файла - нажимайте клавишу F1
Эта клавиша устанавливает флаги на "Скрыть проверенные" и "Скрыть известные"
http://dl.dropbox.com/u/17655378/usb/uvs3.png
Файлы подписанные производителем Microsoft Corporation системные, их не трогайте.
Если не знаете, что за файл, нажмите на него два раза мышкой и прочитайте описание.
Так же, Вы можете обратиться за советом, т.к. это только малая часть возможностей программы uVS (http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/)
Разработчик программы uVS: Кузнецов Д. М.
Сайт разработчика: http://dsrt.jino-net.ru/
————————————————————————————————————————
Vitokhv18.02.2011, 13:19
Вот тема где обсуждается эта программа: http://forum.kaspersky.com/index.php?showtopic=199377
————————————————————————————————————————
Vitokhv18.02.2011, 16:01
Создаём загрузочную флешку или CD с помощью Windows 7 USB/DVD Download Tool:
Первым делом скачать и установить саму программку (http://images2.store.microsoft.com/prod/clustera/framework/w7udt/1.0/en-us/Windows7-USB-DVD-tool.exe), она маленькая.
на некоторых системах (Windows Server 2003 или XP) возможно потребуются дополнительные компоненты, если они ещё не установлены, такие как Microsoft .NET Framework 2.0 (http://www.microsoft.com/downloads/ru-ru/confirmation.aspx?FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5) и Microsoft Image Mastering API v2 (http://hotfile.com/dl/105781719/7160246/IMAPI_v2.0.rar.html) (для обеих систем, x32 и x64 версий)
Запускаем программу.
1. Открыть файл образа Win7PE_uVS.iso (http://hotfile.com/dl/105532051/247429d/Win7PE_uVS.iso.html) через кнопку Browse и нажать Next
http://dl.dropbox.com/u/17655378/mic/01.png
2. Выбрать устройство на которое будем записывать образ:
http://dl.dropbox.com/u/17655378/mic/02.png
3. Если выбрано USB device, в списке (если съёмных устройств несколько) выбираем нужную флешку:
http://dl.dropbox.com/u/17655378/mic/03.png
Если было выбрано DVD, в этом шаге попросят вставить чистый DVD диск, но мы вставляем CD.
Жмём Begin copying.
Далее выдаётся предупреждение о том, что устройство должно быть очищено, жмём Erase USB Device:
http://dl.dropbox.com/u/17655378/mic/04.png
И ещё одно о том, что данные будут уничтожены. Диалог хочет убедиться в серьёзности наших намерений. Жмём Да
http://dl.dropbox.com/u/17655378/mic/05.png
4. Этот шаг самый простой, просто ждём пока программа выполнит все манипуляции.
http://dl.dropbox.com/u/17655378/mic/07.png
Запись завершается на 99%, и предлагается начать всё заново, закрываем окно, флешка готова:
http://dl.dropbox.com/u/17655378/mic/08.png
Вариант записи на CD проходит удачно, не смотря на то, что мы подсунули CD, вместо требуемого программой DVD диска:
http://dl.dropbox.com/u/17655378/mic/10.png
На этом загрузочная флешка или загрузочный диск готовы!
Как загрузиться с загрузочной флешки, записаной данным способом:
Вставить флеш в компьютер.
В самом начале загрузки компьютера войти в Boot Menu, обычно клавишей F12, F8, либо Esc для ноутбуков, в зависимости от версии и производителя BIOS, и пройти в раздел Hard Disk - слева будет плюсик, означает что жёстких дисков несколько:
http://dl.dropbox.com/u/17655378/mic/bm01.JPG
Далее выбрать нашу флешку, имя у неё General USB Flash Disk и нажать Enter.
http://dl.dropbox.com/u/17655378/mic/bm02.JPG
Если Boot Menu отсутствует, или по каким то причинам не удаётся в него войти, то в биосе, в разделе приоритетов жёстких дисков (Hard Disk Boot Priority) (http://forum.kaspersky.com/index.php?showtopic=199377&view=findpost&p=1584845)*, переместить General USB Flash Disk на верхнюю строчку клавишами + и - (плюс и минус). Сохранить изменения и выйти.
* - на примере Award BIOS
|
|
|
|
|
|
|
|
Возраст: 43 C нами с 23.01.2009 Репутация: 82.6
|
|
violeta81, лень писать, поэтому даю копипаст решения:
Цитата: |
1. При загрузке компа тычем на кнопку F8 пока не появится список выбора вариантов загрузки Винды.
2. Выбираем режим загрузки - Безопасный, с поддержкой командной строки
3. В командной строке вводим regedit.exe - запускаем редактор реестра
4. В редакторе следуем по папкам таким маршрутом: HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows NT->CurrentVersion->Winlogon. Теперь в окне справа ищем параметр "shell". Стукаем по нему правой кнопкой мыши и выбираем редактировать. Вместо необходимого значения - explorer.exe там был прописан длинный путь в одну из подпапок папки Temporary Internet Files, непосредственно указывающий на собственно тело врага, который подменяет собой Проводник. Запоминаем этот адрес, копируем его в буфер обмена(это когда правой кнопкой мышки тыкаешь "копировать" по выделенному фрагменту текста), а в поле вводим то, что надо, то есть - explorer.exe (если там и стоит explorer.exe - полностью удаляем параметр shell - ***совет из комментариев)
5. Закрываем редактор реестра.
6. Из командной строки запускаем Проводник (пишем в ней: explorer.exe)
7. В адресную строку вставляем из буфера обмена тот самый путь, что был прописан в реестре, НО! стереть в самом конце адреса имя вредителя(нечто вроде "xxx_video_цифры.avi.exe" или например "flash_plaer.exe") , чтобы открылась только папка, его содержащая, жмем "Перейти".
8. Чтобы долго его не искать - полностью очищаем всю папку. Всё.
|
|
_____________________________ Я - гражданин Р, а кто ты? (С) Dino MC 47
Не страшно потерпеть поражение, страшно прекратить борьбу. Нет смысла стоять насмерть, если можно отступить, собраться с силами и победить. (С) Японская мудрость
|
|
|
|
|
|
|
Возраст: 31 C нами с 18.01.2010 Репутация: 59.7
|
|
violeta81 писал(а): |
Помогите!!!!
|
комп запускается в безопасном режиме?
у меня таких очень много было...
диспечетчер задач>процессы поищи там...в автозагрузках может быть...
|
_____________________________
|
|
|
|
|
|
|
Возраст: 102 C нами с 28.03.2005 Репутация: 157.9
|
|
violeta81 писал(а): |
Помогите!!!!
|
К сожалению последняя модификация, сегодня перерыл весь инет в поисках решения, кода пока нету, народ пока ждет или сносит винду.
Не какие безопасные режимы не пашут, все так же блочица.
|
_____________________________ “Пропадет все со временем, ибо не все так вечно как хотелось бы”
Любишь - отпусти, не любишь - прокляни...
|
|
|
|
|
|
|
Возраст: 32 C нами с 25.02.2007 Репутация: 288.4
|
|
violeta81, где взяли? Хочу себе на виртуалку))
|
|
|
|
|
|
|
|
Возраст: 65 C нами с 28.02.2006 Репутация: 149.6
|
|
violeta81 писал(а): |
Помогите!!!!
|
Эх, качество картинки . Поставить на раб.стол , и на работе начальнику
|
_____________________________ Сказано - сделано. Потом подумано. /Авессалом Подводный
|
|
|
|
|
|
|
Возраст: 40 C нами с 13.04.2010 Репутация: 167
|
|
Wolverine писал(а): |
violeta81 писал(а): |
Помогите!!!!
|
К сожалению последняя модификация, сегодня перерыл весь инет в поисках решения, кода пока нету, народ пока ждет или сносит винду.
Не какие безопасные режимы не пашут, все так же блочица.
|
Я и говорю - вариантов пока нет. Ссылки на загрузку баннера появляются в нужных ветках реестра, их можно оттуда зачистить, но при следующей загрузке что то запускается до входа в систему, и снова делает ссылки в этих же ветках. И мы видим баннер снова. При загрузке вновь с ливсиди - опять видим загаженный реестр и так без конца.
У меня пока не было возможности найти откуда ноги растут, ибо жертвы всегда хотели быстрого решения, приходилось валить винду. Если кто предоставит комп для экспериментов - буду благодарен.
|
|
|
|
|
|
|
|
Возраст: 32 C нами с 25.02.2007 Репутация: 288.4
|
|
|
|
|
|
|
|
Возраст: 40 C нами с 13.04.2010 Репутация: 167
|
|
|
|
|
|
|
|
Возраст: 32 C нами с 25.02.2007 Репутация: 288.4
|
|
Persey, ну дык я сам жду!
|
|
|
|
|
|
|
|
Возраст: 40 C нами с 13.04.2010 Репутация: 167
|
|
Хоть бы ссылку на тот порносайт, откуда цепанули ))
|
|
|
|
|
|
|
|
Возраст: 47 C нами с 23.11.2009 Репутация: 72.4
|
|
Ну я прям не знаю, куда свою беду постить
В общем так:
Попросил меня ребёнок запилить ему игру Star Wars The Force Unleashed 2, что и было мною сделано. Игра работает вроде нормально, но киндеру она надоела. Решил я ее выпилить.
Тыкаю в её деинсталятор, а она мне :"Данную программу возможно деинсталировать только в среде 64-битной Windows". Пробую через Revo Uninstaller-та же хня....Отккатываю систему-игра на месте. Захожу в безопасном режиме-опять не удаляецца.Лезу через установку и удаление программ, а там...."Произошла ошибка, программа возможно уже была удалена. Удалить ее из списка?" Естественно, жму Да. Потом тыц в ярлык этой игры на рабочем столе Игра работает....
Камрады, как мне её победить?, А???
Винда ХР профешнл, Сервиспак 3, если чё.
|
_____________________________ Люблю, чтобы пиво было холодным, телевизор работал громко, а гомосексуалисты горели в аду.
|
|
|
|
|
|
|
Возраст: 43 C нами с 09.01.2008 Репутация: 164.1
|
|
Wolverine писал(а): |
violeta81 писал(а): |
Помогите!!!!
|
К сожалению последняя модификация, сегодня перерыл весь инет в поисках решения, кода пока нету, народ пока ждет или сносит винду.
Не какие безопасные режимы не пашут, все так же блочица.
|
violeta81, вчера мне принесли ноут с точно таким вирусом, даже номер телефона был как на Вашем баннере. Вот тут решение: http://www.cyberforum.ru/security/thread285414.html
Эта дрянь не только кидает свой баннер с именем 22CC6C32.exe по пути c:\Documents and Settings\All Users\Application Data\, но и изменяет файл userinit.exe, который находится по пути c:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же userinit.exe, только который является резервным для восстановления системы и лежит по пути c:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл 22CC6C32.exe по указанному выше пути. В общем замкнутый круг получается.
Хочу отметить то, что есть одна небольшая "родинка" у файла userinit.exe, который лежит по пути c:\WINDOWS\system32\dllcache\ - у него не стандартная иконка, а квадрат серого цвета, что выдаёт его с потрохами.
В общем итоговое решение для тех, кто в танке и каске:
загружаемся через Live-CD, грохаем файл c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\system32\dllcache\userinit.exe на здоровый файл userinit.exe (прикреплю к сообщению)
заходим в реестр Вашей винды и меняем значение параметра Shell на Explorer.exe, который находится в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
переа\загружаемся и хлопаем в ладоши.
...по сабжу для Windows 7:
загружаемся через Live-CD, грохаем файл c:\Program Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\taskmngr.exe на здорове
заходим в реестр Вашей винды и меняем значение параметра Shell на "Explorer.exe", userinit на "C:\Windows\system32\userinit.exe,"(внимание, запятая важна!) которые находятся в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Program Data\22CC6C32.exe").
номер телефона там бывает разный, но это тот самый вирус, я вчера голову ломал над этим
Во вложении нормальный, неинфицированный userinit, который нужно подложить.
|
_____________________________ Я лёгок на подъём, но не с кровати.
userinit.rar - 11.86 Kб
Скачиваний: 5
|
|
|
|
|
|
|
C нами с 21.09.2006 Репутация: 95.7
|
|
Vajor_new, вот точно, этот 22CC6C32.exe и лечил вышеописанным способом.
userinit.exe и taskmngr.exe пришлось новые ставить.
|
|
|
|
|
|
|
|
Возраст: 43 C нами с 09.01.2008 Репутация: 164.1
|
|
ЙоханПалыч писал(а): |
Ну я прям не знаю, куда свою беду постить
В общем так:
Попросил меня ребёнок запилить ему игру Star Wars The Force Unleashed 2, что и было мною сделано. Игра работает вроде нормально, но киндеру она надоела. Решил я ее выпилить.
Тыкаю в её деинсталятор, а она мне :"Данную программу возможно деинсталировать только в среде 64-битной Windows". Пробую через Revo Uninstaller-та же хня....Отккатываю систему-игра на месте. Захожу в безопасном режиме-опять не удаляецца.Лезу через установку и удаление программ, а там...."Произошла ошибка, программа возможно уже была удалена. Удалить ее из списка?" Естественно, жму Да. Потом тыц в ярлык этой игры на рабочем столе Игра работает....
Камрады, как мне её победить?, А???
Винда ХР профешнл, Сервиспак 3, если чё.
|
Ну конечно, игра будет работать, потому что, судя по тому, что Вы написали, Вы ее удалили только из списка установки и удаления программ, а сама игра осталась на винте. В свойствах ярлыка посмотрите путь, по которому игра лежит на диске - и удалите ее физически простым удалением файлов. Если я фигню написал, кто-нибудь разбирающийся, поправьте меня
|
_____________________________ Я лёгок на подъём, но не с кровати.
|
|
|
|
|
|
|
На страницу « 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109 »
|
|