Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Уж очень подлый порнобаннер (http://forum.oszone.net/showthread.php?t=198412)

Gik 02-02-2011 21:49 1603102
Уж очень подлый порнобаннер
 
Один знакомый попросил убрать порнобаннер со своего компьютера... ОС стоит 7 если важно.
Пришел я к нему попробЫвал зайти в безопасном режиме. Там он тоже вылез
Дальше загрузился через ERD коммандер...
в реестре в Shell и Userinit поставил все как положенно...
перезагрузился
он не исчез как это бывало раньше ...
начал смотреть внимательнее...
порнобаннер создал диск X... который вроде бы и не должен быть... он весит всего то 36 мб... но на нем основные папки типа Windows User Program Files и прочии...

В Shell'е был прописан путь cmd.exe /k cmd ... ну или что то подобное... точно не помню
В Userinit было прописанно X:\Windows\system32\userinit.exe, хотя вся система на D стоит...

при попытках везде все переставить на D:/ все менялося но перезагрузке компа все менялося обратно...


Умные люди помогите а?

okshef 02-02-2011 21:53 1603106
Цитата:
Цитата Gik
В Userinit было прописанно X:\Windows\system32\userinit.exe, »
это реестр WinPE. Вам нужно подключить реестр удаленной системы.

Gik 02-02-2011 21:55 1603107
Можно по подробнее ... то что для вас кажется очевидным, для меня является непонятным..

okshef 02-02-2011 22:00 1603109
Вам нужно в ERD коммандере подключить реестр системы, которая находится на D:\

Gik 02-02-2011 22:23 1603123
подскажите пожалуйста как это сделать ... я просто с программой ERD можно сказать впервые поработал

okshef 02-02-2011 23:41 1603166
Вы так писали в своем первом сообщении о ERD, что создалось впечатление, что вы знаете. Честно говоря, я с ним сам не работал. Пользовался Regedit PE 1.1.2.0 и AutoRuns для Windows
Использовать их нужно, загрузившись с любого Live CD

Почитайте еще Разблокировка троянов семейства WinLock (sms - вымогатели) - VirusNet

Gik 03-02-2011 00:07 1603182
Ну я не то что бы совсем не знаком с ERD просто для версии x86 он совершенно другой.. я в нем не разбираюся толком..
кое как разобрался где реестр открыть ... FAQ бы почитать

goredey 03-02-2011 00:07 1603183
Gik, 1. Пуск/Выполнить..., набрать regedit и выделить раздел HKLM.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
6. Не забудьте выгрузить куст

Gik 04-02-2011 11:20 1604158
=) извините за то что я такой глупый) проблему уже решил)
оказалося что подвел меня опыт.
дело в том что я толком не умея пользоваться ERD полез что то делать.

Порно баннер оказался самым обычным и сидел даже не в реестре а просто в автозагрузках.

а все мои проблемы от того что ERD у меня был на 64 битную систему...

а установленна была 32 битная...

когда поставил нужный диск все получилося очень легко и просто)


Время: 15:55.

Время: 15:55.
© OSzone.net 2001-