[Seven] 2 вопроса от нуба: про баннер и про ERD

Тема в разделе "Windows", создана пользователем ertog, 12 дек 2010.

Статус темы:
Закрыта.
Модераторы: ADMiNZ
  1. ertog

    ertog

    Регистр.:
    2 авг 2007
    Сообщения:
    682
    Симпатии:
    45
    2 вопроса от нуба: про баннер и про ERD
    ОС: Windows 7 home basic

    1 вопрос про баннер
    У шефа на ноуте появился баннер на левом фоне,
    «Внимание!Ваш ПК заблокирован, за просмотр порно фильмов с участием несовершеннолетних, порнофильмов с зоофилией.Для разблокировки, Вам необходимо совершить следующие действия: В любом терминале оплаты сотовой связи, пополните счет абонента МТС 89853136561 на сумму 400 рублей.
    По завершению оплаты, на выданном терминалом чеке оплаты, вам будет выдан код, после ввода которого система будет разблокирована. После разблокировки, Вам необходимо удалить все незаконно расположенные материалы на вашем ПК В случае отказа от оплаты, ваша операционная система будет безвозвратно унечтожена.»
    Что делал: удалил все файлы в папках- temp, все корзины , все систем волум информейтшен.
    Смотрел system32 но ничего такого не обнаружил, а смотрел я по датам создания файлов, наверное не верно смотрел.
    Смотрел в эпликотшион дата, раб. Стол, документы, загрузки ничнего не обноружил, наверное не верно смотрел.
    Проверял live cd от веба и каспера, менял дату не помогло.
    Хотел загрузится с помощью ERD не помогло, об этом второй вопрос.
    Как удалить банер?
    2 вопрос про ERD
    Скачал с популярного торрента live cd ERD Commander (3 in 1) 5.0/6.0/6.5 for XP/2003, Vista/W2k8, W7/W2k8 R2 (RU/EN) (ISO) х86
    Но при загрузке выходит такая ошибка " данная версия параметров восстановлениясистемы не совместима с установленной версией Windows." Кто знает нормальный ERD для Windows 7 home basic?
     
  2. ioioio4

    ioioio4 Постоялец

    Регистр.:
    24 июн 2007
    Сообщения:
    138
    Симпатии:
    10
    скачай Alkid live cd

    и покоцай все hijack-ом
     
  3. smalllamer

    smalllamer Организм

    Регистр.:
    20 сен 2009
    Сообщения:
    318
    Симпатии:
    126
    Как прошел эксперимент с hijack-ом?
    У меня точно такая же проблема:(
     
  4. Шейла

    Шейла

    Регистр.:
    12 май 2008
    Сообщения:
    565
    Симпатии:
    158
    Скачать утилиту AVZ
    Утилита - чистый спецназовец, каждый айтишник должен уметь с ней работать, может миллион вещей по зачистке системы.
    Обновить AVZ (кнопочка глобус) - включить драйвер расширенного мониторинга - ребут. Просканировать систему с максимальными настройками - проверить что нашлось (кнопочка очки) - поискать в тырнете что нашлось, т.к. в частности на драйвера каспера говорит что руткит.
    Покопать в AVZ автозапуск, такие зловреды часто прячутся именно там.

    не слушайте данный совет, это бред!

    hijack-ом надо коцать только лишнее, а не все подряд. Всё покоцать, система если поднимится то хорошо.

    Качать тут http://free.antivirus.com/hijackthis/
    Снять лог hijack пойти сюда http://www.hijackthis.de/en#anl закачать лог и вам скажет что надо пофиксить. Но смотрите акуратно, бывает на полезные вещи указывает.
     
    smalllamer нравится это.
  5. DREAMkin

    DREAMkin Создатель

    Регистр.:
    4 май 2007
    Сообщения:
    40
    Симпатии:
    2
    На сайте дрвеба есть отличная утилитка CureIT.
    Либо скачай свежую сборку загрузочного диска с этой утилиткой и свежими базами.
    Я ловил винлок, который нигде в реестре не был прописан, в автозагрузке его тоже не было, служб он никаких не создавал, но где-то он скотина все равно загружался при запуске, даже в безопасном режиме. После проверки с загрузочного диска нашел заразу в кэше оперы. Винлок - xxx_video_88643
     
  6. ryazanec

    ryazanec Создатель

    Регистр.:
    22 июл 2008
    Сообщения:
    21
    Симпатии:
    2
    Кстати про кеш.
    Часто (2/3 того что удалял с компов) записывалось в реестре именно как xxx-video или похожее. Из под сборки ZVER DVD запускал ERD (он там в комплекте), и сканировал реестр на наличие xxx - вхождений несколько десятков, но просмотреть их не долго, обычно находилось что то вида 12345-xxx-video.avi.exe. Так же полезно поискать по запросу avi.exe , аналогично но результатов поменьше.
    Дальше стоит посмотреть где именно в реестре стоит ссылка и на что ссылается, так как иногда после простого удаления перестаёт работать EXPLORER (е загружается рабочий стол, но проводник запустить можно), который потом необходимо вернуть на место.
    Дело в том что часто вирус запускаетс сам, заменяя explorer.exe на себя, ну что бы запустить нормально explorer в некоторых местах строку нужно не удалть а заменять :). Вот в принципе и всё.
     
  7. bat

    bat

    Регистр.:
    24 сен 2009
    Сообщения:
    974
    Симпатии:
    276
    ТС нужно просто восстановить предыдущий бэкап системы.
    Про остальные извраты в гугле больше 1000 способов ))
    AVZ тема хорошая, но помогает далеко не всегда. Последние модификации вирусов блокируют запуск "лечащих" программ и доступ к антивирусным сайтам.
    з.ы. когда подобная ерунда залазит на комп - его лучше не перезагружать, а то и дамп не поднимется )))
     
Статус темы:
Закрыта.