[Seven] 2 вопроса от нуба: про баннер и про ERD

[ertog]

2 вопроса от нуба: про баннер и про ERD
ОС: Windows 7 home basic

1 вопрос про баннер
У шефа на ноуте появился баннер на левом фоне,
«Внимание!Ваш ПК заблокирован, за просмотр порно фильмов с участием несовершеннолетних, порнофильмов с зоофилией.Для разблокировки, Вам необходимо совершить следующие действия: В любом терминале оплаты сотовой связи, пополните счет абонента МТС 89853136561 на сумму 400 рублей.
По завершению оплаты, на выданном терминалом чеке оплаты, вам будет выдан код, после ввода которого система будет разблокирована. После разблокировки, Вам необходимо удалить все незаконно расположенные материалы на вашем ПК В случае отказа от оплаты, ваша операционная система будет безвозвратно унечтожена.»
Что делал: удалил все файлы в папках- temp, все корзины , все систем волум информейтшен.
Смотрел system32 но ничего такого не обнаружил, а смотрел я по датам создания файлов, наверное не верно смотрел.
Смотрел в эпликотшион дата, раб. Стол, документы, загрузки ничнего не обноружил, наверное не верно смотрел.
Проверял live cd от веба и каспера, менял дату не помогло.
Хотел загрузится с помощью ERD не помогло, об этом второй вопрос.
Как удалить банер?
2 вопрос про ERD
Скачал с популярного торрента live cd ERD Commander (3 in 1) 5.0/6.0/6.5 for XP/2003, Vista/W2k8, W7/W2k8 R2 (RU/EN) (ISO) х86
Но при загрузке выходит такая ошибка " данная версия параметров восстановлениясистемы не совместима с установленной версией Windows." Кто знает нормальный ERD для Windows 7 home basic?

 

[ioioio4]

скачай Alkid live cd

и покоцай все hijack-ом

 

[smalllamer]

Как прошел эксперимент с hijack-ом?
У меня точно такая же проблема

 

[Шейла]

Скачать утилиту Для просмотра ссылки Войди или Зарегистрируйся
Утилита - чистый спецназовец, каждый айтишник должен уметь с ней работать, может миллион вещей по зачистке системы.
Обновить AVZ (кнопочка глобус) - включить драйвер расширенного мониторинга - ребут. Просканировать систему с максимальными настройками - проверить что нашлось (кнопочка очки) - поискать в тырнете что нашлось, т.к. в частности на драйвера каспера говорит что руткит.
Покопать в AVZ автозапуск, такие зловреды часто прячутся именно там.

и покоцай все hijack-ом

не слушайте данный совет, это бред!

hijack-ом надо коцать только лишнее, а не все подряд. Всё покоцать, система если поднимится то хорошо.

Качать тут Для просмотра ссылки Войди или Зарегистрируйся
Снять лог hijack пойти сюда Для просмотра ссылки Войди или Зарегистрируйся закачать лог и вам скажет что надо пофиксить. Но смотрите акуратно, бывает на полезные вещи указывает.

 

[DREAMkin]

На сайте дрвеба есть отличная утилитка CureIT.
Либо скачай свежую сборку загрузочного диска с этой утилиткой и свежими базами.
Я ловил винлок, который нигде в реестре не был прописан, в автозагрузке его тоже не было, служб он никаких не создавал, но где-то он скотина все равно загружался при запуске, даже в безопасном режиме. После проверки с загрузочного диска нашел заразу в кэше оперы. Винлок - xxx_video_88643

 

[ryazanec]

Кстати про кеш.
Часто (2/3 того что удалял с компов) записывалось в реестре именно как xxx-video или похожее. Из под сборки ZVER DVD запускал ERD (он там в комплекте), и сканировал реестр на наличие xxx - вхождений несколько десятков, но просмотреть их не долго, обычно находилось что то вида 12345-xxx-video.avi.exe. Так же полезно поискать по запросу avi.exe , аналогично но результатов поменьше.
Дальше стоит посмотреть где именно в реестре стоит ссылка и на что ссылается, так как иногда после простого удаления перестаёт работать EXPLORER (е загружается рабочий стол, но проводник запустить можно), который потом необходимо вернуть на место.
Дело в том что часто вирус запускаетс сам, заменяя explorer.exe на себя, ну что бы запустить нормально explorer в некоторых местах строку нужно не удалть а заменять . Вот в принципе и всё.

 

[bat]

ТС нужно просто восстановить предыдущий бэкап системы.
Про остальные извраты в гугле больше 1000 способов ))
AVZ тема хорошая, но помогает далеко не всегда. Последние модификации вирусов блокируют запуск "лечащих" программ и доступ к антивирусным сайтам.
з.ы. когда подобная ерунда залазит на комп - его лучше не перезагружать, а то и дамп не поднимется )))