Добрый День, такая проблема, словили банер, смс блокировщик, баннер был удален из папки all user\aplication data, востановлен параметр shell на explorer.exe, востановлен файл userinit.exe, при загрузке винды после приветствия только фоновый рисунок и все, при нажатии трех заветных кнопок опять вылетает баннер, при загрузке в безопасном режиме тоже самое, если загружаться с поддержкой командной строки и там ввести explorer то запускается рабочий стол и все как положено, но при попытке вызвать диспетчер задач баннер опять вылетает, кто что посоветует ??? где еще его посмотреть, может в реестре какие то параметры почистить ??? каталоги времееных файлов также были почищены

загрузиться с лив-сд И запустить с него что-то типа ДрВэб не предлагать?
тогда - на выбор: формат с, ya.ru

таскменегер, тоже поменян, его размер сейчас  где то 25 кб, а должен быть 132 кб, его меняй тоже
taskmgr.exe

taskmgr.exe менял

ничего не помогло

ну так ты почисть реестр, поменяй все эти файлы с др машины, и на рабочем столе посмотри test.exe или подобный файл
а только потом загружайся

(0) переставляй винду по новой

все менял и чистил, файла тест не было

этот алгоритм конечно для 7. Но я думаю подойдет и для xp:
http://www.windxp.com.ru/win7/articles45.htm.
Попробуй загрузиться с Live-CD и полазить по реестру с целью поиска ссылки на файл банера (как он называется ll user\aplication data) и удалить ее.

ссылки на имя баннера в реестре нет, лишь в параметре shell который я удаляю

ну так ты нажал на три заветные кнопки, и все вернулось на круг.

(0)а он как надстройка ослика не выковыривается?

Он же у тебя код просит??
Полазь по сайту Касперского, я в свое время нашел там код для отключения подобной лабуды, а потом удалил из системы.

(6) сторонник лечения зубной боли кастетом?

нужно чистить реестр. avz или ERD, или другой вариант на твой вкус.

22CC6C32.exe,677518946.exe,null0.5442316073630622.exe, test.exe
вот он сам, а также меняет userinit.exe и taskmgr.exe

(15) о, это уже не просто баннер. это практически вирус

спасибо, буду пробовать

+ были еще варианты его с расширением xxxxxx.avi.exe
и посмотри наличие autoran.inf на всех дисках
и в корзине может лежать тело вируса

+(18) а ещё есть такая мегафича:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

редко попадается, но бывает

я бы предложил перепроверить ВЕСЬ реестр на параметры shell и userinit. Те ли там значения.

всем спасибо. система востановлена

(21) Каким макаром?

http://www.compdoc.ru/secur/virus/troyan_what_is_it/

Недавно видел, как лечили (сам не участвовал) - откатили систему до контрольной точки на на неделю назад и всё.

Такое ощущение, что это эти баннерописатели дочитали мануалы по программированию только до автозагрузки, через несколько месяцев пр оподмену системных процессов, еще через полгода скрытие себя из таск-менеджера, а вскоре и скрытие самого таскменеджера.

Вот как дочитают до контрольных точек - ховайся.

(24)нет просто ребята которые могут это делать это не делают ... а те кто делают ждут когда инфа от первых станет доступной

http://forums.kuban.ru/showthread.php?t=773077

+26 отбой! извините за ошибку!

должен быть этот линк:
http://kpastuh.clan.su/news/sms_blokirovshhiki_windows_kak_razblokirovat_kompjuter_bezopasnost_kompjutera/2011-01-14-50

(0)Сегодня удалил такой банер.Скачал лайв сиди "2к10" - там утилита для восстановления системных файлов.Одно нажатие и все.

(29) 'njn&
http://symbian.kh.ua/main/prog/41985-livecd-multizagruzochnyjj-2k10-dvd-usb-1.6.5.html

+30 этот?

(16) У меня был случай, что после восстановления АВЗ, восстановился баннер, всё удалил Курьер, а запустил АВЗ и баннер опять появился. :)

(22) скачал диспетчер задач размером 100 с чем то кб, заменил им стандартный, взял с другой ос файл userinit.exe и explorer.exe хзаменил и все загрузилось. соответственно перед эти почистил все темпы и восстановил загрузочные параметры реестра

а вообще.....после того как люди обращаются с такой проблемой в виде банера я на систему ставлю обновления, если конечно лечение проходит успешно, их три штуки, называются анти кидо, вот названия обновлений
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS

после установки данных кабешек проблемы (тьфу тьфу тьфу) пропадают

(31) Да.Он у меня на флешке всегда с собой =) И образ винды тибовский.В любой момент готов поставить.

(36) Ссылки нет торрентовской случайно?

(37)http://rutracker.org/forum/viewtopic.php?t=2833878
http://nnm-club.ru/forum/viewtopic.php?t=253762

"2k10 DVD USB" а рутрекер по такому запросу что выдает ??

(38) Спасибо.

в винлогоне еще и таскманагер можно сменить

Hiren's Boot CD (Autoruns + SuperAntiSpyWare) + Win XP SP3 CD


+ 15 минут ковыряния в носу. )))

AVZ4

Опять порно смотрел :)

(34) обновления надо ставить ДО, а не ПОСЛЕ.
а эти-то уж вообще древние уже

(46) Сдаётся мне что кидо и блокеры слабо связаны между собой. Блокеры не всегда как малварь даже определяются. Нет в них характерного кода, ИМХО

(46) ну, это же не означает, что не нужно ставить апдейты, ведь так?

(47) скучно это...
был случай, вызвал клиент, грит не работает инет, смотрю, сетевая отключена, ну грю, всего лишь по неосторожности выключили. Через неделю опять звонок, таже проблема, пришел, то же самое. Как оказалось, бывший "спец" поставил самописную службу, которая вырубала 1 раз в неделю сетевую, что бы его больше вызывали и клиент не соскачил.

(48) ну да, примерно из той же оперы:
Интеллектуальная собственность

(34) А эти  заплатки входят в ср3?

Есть такая фича - автозапуск при логине всего, что может запускаться из корня папки содержащей профиль залогинившегося пользователя. Так что проверь все папки из Document and Settings (Users для Vistы и Win7). Там не должно быть ничего исполняемого (exe, cmd и т.п.)

(51)А Конкретней.После вашего сообщения возникает еще кучу вопросов.

Куда уж конкретней. Заходишь в папку, например c:\Document and Settings\superuser и удаляешь все исполняемые файлы. По норме, там только файлы пользовательского куста реестра должны быть: ntuser.dat, ntuser.ini, ntuser.dat.log

(53)Уразумела