[Drongo]

Цитата cher:

может кому то будет интересно... »

Открывает человек, не особо разбирающийся в компьютере, эту тему и видит две строки сообщения. Может быть уже подробно распишете процедуру? К тому же рекомендую проверить систему на вирусы, не всё удалили вы.

[Любезный]

На самом деле интересно... Я ещё не видел баннеров, прописывающихся в MBR. Жалко, что скриншот с такого не снять.

[cher]

Цитата Drongo:

рекомендую проверить систему на вирусы, не всё удалили вы. »

все я проверил уже в среде windows.

Цитата Любезный:

что скриншот с такого не снять. »

хотел сфотографировать да сам был в шоке от увиденного . вот и позабыл.

Цитата Drongo:

Может быть уже подробно распишете процедуру? »

читать дальше »

1- в общем изначально вижу баннер, но процедуру загрузку "проворонил"(клиент уже сказал, что баннер.последние все "синенькие".тупо взглянул на экран, когда уже сам баннер "нарисовался".
- тут вижу почти на всю верхнюю половину красными буквами на темно синем фоне(скорее ближе к черному) текст(схожесть с текстами "обычных" баннеров налицо )
2- перегружаюсь- иду в erd commander.shell и userinit "чистые". подмены userinit нет.подмены taskmgr тоже.
3-проверяю run-ы вот там "подвязка" под загрузку модулей от adobe reader-не понравилось.снес.
4- из автозагрузки удалил пустые and , c:\documents и.т.д
5- в appdata нашел тоже двух зверьков. но не типа известных 22СС6С32.еxe а что то вроде menx.exe и xell.exe - снес.
6-прошелся по дате изменения файлов в windows - вроде ничего особенного- перезагрузился.
7-и вот тут и был удивлен загрузке баннера сразу после процедуры post.
8- всё стало ясно-загрузился с установочного диска в консоль восстановления- вывел команду fixmbr- перезагрузился.
9- загрузился в операционную систему-удалил avast free(прошелся по системе mbam,combofix,avptool проверил логи у HijackThis и avz(ничего серьёзного.)
10-очистил точки восстановления,прошелся чистильщиком(вначале avz - чистка системы, затем auslogics)
11-еще раз проверил интеграцию через Autoruns и Shexwiew(поудалял/запретил пару тройку ненужных параметров)
12-поудалял не нужные расширения у браузеров, добавил в каждый браузер "свой адблокер"(куки,кэшы снес. и историю заодно )
13-установил kis-обновился-отдал клиенту.
вроде всё

p.s - не стал уже описывать процедуры обновления "адобов",джавы,запрет автозапуска в системе и.т.д

[ugara]

Цитата cher:

хотел сфотографировать да сам был в шоке от увиденного . вот и позабыл. »

любуйтесь на здоровье

[vadblm]

Цитата ugara:

любуйтесь на здоровье »

Красота какая. И ведь не боится, зараза, что привлекут по статье "вымогательство", светит номер. Чистая психология, за ЦП тоже по головке не погладят, даже если жертва им и не увлекается, а вдруг найдут, ггг.

[cher]

Цитата vadblm:

И ведь не боится, зараза, что привлекут по статье "вымогательство", »

Цитата vadblm:

светит номер »

вы наверное не совсем понимаете систему получения номеров.
да и в каждм таком скачанном файле/или на сайте источника есть лицензионное соглашение,которое никто никогда не читает

[VasFed]

Я такого номера еще не видел!

[cibin]

У меня такой же текст с таким же номером был но не чёрный экран а синий! Вылечить удавалось но толку было мало рабочий стол на отрез отказывался работать!

[VasFed]

Рабочий стол восстанавливается довольно просто: в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe", в ключе Shell должно быть Explorer.exe Кроме того может понадобиться замена самого userinit.exe в папке C:\WINDOWS\system32\.
А вобще лучше скачайте и запишите на диск (СD)
образ AntiWinLockerLiveCD.iso, в меню загрузки выбирите boot from CD, загрузитесь в оболочку AntiWinLockerLiveCD нажмите кнопку "старт". И предоставте все сделать программе.