Доброго времени суток.

Товарищ поймал баннер.
В принципе не проблема.
Тем более что он, как ни странно, срабатывает только под одним пользователем.
(WinXP кстати)
Но возник интерес узнать, откуда он загружается?
Зашел другим пользователем.
Установил KIS2010 (единственное, что валялось у него на компе).
Обновил. Запустил полную проверку.
Нашлось пару вредоносных объектов.
Удалил. Перезагрузился. Зашел. Баннер висит.
Погуглил. Во всех предполагаемых местах реестра чисто.
Как уже писал выше в принципе не проблема.
Но интересно узнать, откуда же грузится баннер?
И почему KIS его не вылечил (вроде везде его хвалят)?
Не подскажите?

Заранее благодарю.
С уважением, Воинствующий Ламер.

значит не во всех предполагаемых местах искал.Утилита от вебера еще есть, cureit звать.

Если баннер в браузере, то посмотри надстройки. Они иногда себя туда прописывают и не определяются как вирус.

(0)Что конкретно ты хочешь узнать?
Где находится сам файл этого баннера, или где находится код который его запускает?

да зачастую банер это не вирус и нихрена его антивирусы не видят
хоть упроверяйся

где баннер выходит? на раб.столе?

иногда тупо висит экзешник прямо в Программы\Автозагрузка

(1)
Очевидно что не во всех.
В этом то и вопрос..
Какие есть места в реестре откуда он может грузится?
Или может быть не только в реестре.

"И почему KIS его не вылечил" - он лечит по сигнатурам, т.е если файл баннера содержит код совпадающий с вирусной сигнатурой, то он его вылечит.
Значит код не совпал.

(7)Как вариант - в памяти висит куча системных сервисов, которые время от времени страртуют свои программы - дописываешь к такой программе довесок, и вуаля.

(3) Файл не суть важен. Интересно что его запускает.
(5) Баннер запускается сразу при входе конкретным пользователем (только им). Черный фон и баннер.
(6) Папка Автозагрузка чиста. Чисты и соответствующие ветки рееста.

Kaspersky Rescue Disk поможет

удалёнку дашь?

Системные сервисы конечно проверяют запускаемые файлы на предмет цифровой подписи, а вот левые программы не всегда это делают.
Допустим берем какую-нибудь популярную программу типа мэйл-ру агента, которые грузятся автоматом - смотрим какие файлы запускает сервис - подменяем запускаемый файл на свой который стартует баннер, а потом стартует тот файл который он подменил.
В итоге все чисто и аккуратно.

(0) грохни профиль пользователя, создай новый

(11) Дело не в помощи. Проблема уже решена. Сидит под другим пользователем и никаких проблем.

если вопрос любопытства - качни AVZ, он всё расскажет -  кто, откуда и куда

(10)Учитывая -"Баннер запускается сразу при входе конкретным пользователем (только им)"
Можно сказать что запуск идет или из реестра этого пользователя, либо из сервисов которые стартуют от имени этого пользователя.

Можно поэкспериментировать - отключай по очереди безобидные и нужные сервисы и смотри запустился ли баннер.

(13) И это может вызывать запуск баннера запуск баннера сразу при входе в систему ?

(16) +100

(17) насчёт сервисов чё-то ты загнался

(17) Сервисы это службы ? (см. мой ник)

(15) Тогда в ветке реестра HKEY_CURRENT_USER ищи

(15) это не решение, а костыль :)

(16) А что AVZ прям все укажет?
Где и откуда?

(22) Это то и дураку понятно.

(20)Да ну?

(25) Ну кто тебя знает...

В каких еще ветках реестра, кроме автозагрузки и winlogon, может прятаться загрузчик ?

(26) ок, обоснуй.
все службы грузятся при старте системы, допустим, баннер стартует как служба под  юзером №1, тогда и при входе под другим юзером №2 она тоже стартанёт, но от имени юзера №1

(25) не все понимают, что при входе под новым юзером ветки старого юзера они в этом разделе не увидят

(29) если юзер 1 - админ, а юзер 2 - нет, то под вторым она вполне может не стартануть, если ей нужны права на старт.
мне на рабочий комп кто-то поймал когда-то баннер, который стартовал только под учеткой доменного админа. под моей, у которой тоже были полные права - его не было))
лесить было влом. переставила систему тогда

*лечить

(29)Я не говорил что баннер стартует как служба.
Я говорил что баннер маскируется под какой то файл запускаемый этой службой.

(33) ты про сервисы говорил. сервис = служба, разве нет?

(31) извини, но это чушь. если служба стартует от имени админа, то как ей может не хватить прав?

(30)Вот как?!
Правильно ли я понял, что ветка "HKEY_CURRENT_USER" под каждого пользователя своя ?
Если так то есть ли способы просмотреть ветку другого пользователя ?

(36) ага.
смотри раздел HKEY_USERS

(31) Оба админы

(38) значит, где-то в профиле пользователя валяется. включи отображение скрытых и системных файлов, и шерсти папку с профилем

(37) Она какая то странная.
Где там искать ?

и вообще, вири, маскирующие себя в службы, обычно не так просты, чтобы от них отделаться пересозданием учётки

(39) Шерстить на предмет чего?
Странных экзешников или батников ?

(34)Да конечно сервис и служба одно и тоже.
Ну смотри ставит пользователь вася какой-нибудь mail.ru агент - при установке прописывается служба, задача этой службы стартовать окошко этого долбанного агента - вошел пользователь вася в систему служба отловила это событие и стартанула его любимый мессенджер - только вот файл мессенджера был подменен на левый файл, который сначала стартует баннер, а уж потом мессенджер.

(42) всего))
еще есть софтина, Prоcess Monitor, если мне память не изменяет, показывает, кто/что какой процесс стартует

(43) конечно, это возможно, но это было бы очень глупо со стороны виря, см.(41)

(36)А ты какие ветки реестра кстати смотришь? - Run?
Может быть и в RunOnce и перезаписывать ее каждый раз.
Тоже красивый вариант.

(46) красивше в winlogon шеллом прописаться

Ребят, по ходу уважаемый andrewks (30), (37) прав.
Нашел какую то хрень в автозагрузке в веетке HKEY_USERS
Счас попробую полечить
Временно выйду

(46) Все

(47) Шелл тоже проверил

(45)Почему глупо? Наоборот хрен найдешь.
Обычно чистят и удаляют отключением ненужных и неизвестных служб и программ в автостарте - а если стартует известное и нужное приложение, оно останется без внимания.
А пересоздание профиля пользователя - это довольно радикальная мера, вирусы которые не смогли получить привилегий администратора это в любом случае покосит.
А те кто добыл админские права, им это пофиг.

(47)Да, но это один из множества вариантов.

(51) в данном случае, как я понимаю, речь даже не о правах, а зараза прописалась именно в профиле - иначе бы стартовала под всеми юзерами. соответсвенно, если убить профайл полностью - заразы должно не стать.

(48) Не помогло.

Почистил ветку автозагрузки в HKEY_USERS
Там была какая то хрень
Не помогло

(55) а что за хрень там была? м.б. сначала стоит убить исполняемый файл, а потом уже реестр от него чистить, не?

(55)А вообще там сколько файлов в автозагрузке?

(0)Сейчас не отличишь вирусы от надоедливых сервисов типа майл-гард.Обновлял мюторрент снял галочки один хрен всё установилось.

Все.
Ответ найден.
Оказалось что ветка HKEY_CURRENT_USER другого пользователя находится в файле ntuser.dat в корневом каталоге пользователя.
Баннер грузился из ветки автозагрузки.
Всем спасибо.

Я пару раз лечил блокиратор с помощью проги Universal Virus Sniffer. имеет базу драйверов и частей операционки. находит подозрительные файлы за 30 секунд по своей базе. удаляешь файл блокиратора и нет его.

скорее всего лежит в одной из папок профиля. что-то вроде Application Data или Local Settings
там себя ведут последние блокираторы что я встречал. в реестре в логоне они не прописываются.

(59) Колумб ?