доброго времени суток, уважаемые админы и модеры!
у меня на ноутбуке после того как я вручную пытался чистить порнобанер с требованием пополнить баланс сотового возникла следующая проблемка. я удалил зараженный userinit.exe, а переименованный 03014D3F.exe не нашел. после долгих мытарств попробывал скопировать userinit.exe с рабочей системы (понимал что зря :)) как полагается удалил экзэшники с С:\Documents and settings\All Users\Application Data, заменил загрузчик диспетчера задач, подчистил реестр (наудивление shell не был изменен) теперь при входе в систему запрашивает имя пользователя и пароль. при попытке входа начинает загружать учетку и тут же сразу сохраняет параметры и опять в окно приветствия. я уж и пробывал восстановить все зараженные файлы (типа отката сделать) но все утратил безвозвратно.
думаю может passwordrenew поможет или что-нибудь в этом роде. подскажите пожалуйста что сделать, какой файлик раскопать, как восстановить вход в учетку?

Какая ОС у вас ?
В безопасном режиме пробовали загружаться ?

операционка XP sp2, но проблему я уже решил банальным восстановлением системы. но уже хотелось бы узнать какой именно фалик был битым, чтобы на будущее делать своего рода бэкап, но всей системы а конкретных объектов. никто не знает?

но уже хотелось бы узнать какой именно фалик был битым, »
Я сегодня на работу шел и опоздал на 5 минут. Вы можете сказать почему ?
Когда система в рабочем состоянии невозможно уже определить что послужило причиной
сбоя.
Если было заражение то возможно могут остаться следы зловредов.

но уже хотелось бы узнать какой именно фалик был битым, чтобы на будущее делать своего рода бэкап, но всей системы а конкретных объектов. »

Резервировать нужно не отдельные файлы, а всю систему!

оно конечно же хорошо, когда резервную копию делаешь. но часто бывает, что приходят люди (как в последнем случае) и просят вылечить "больного", но только шоб "печень и почки" сохраните пжалусто! вот и сидишь мозг развиваешь, как бы восстановить систему. поскольку порой данные бывают очень массивные и операции с туда-сюда копированием занимают ЧАСЫ, думаю, было бы проще знать что же именно овечает за учетку, загрузку исполнительных файлов итэдэ, и конечно же что из них "жрет" баннер, чтобы в будущем за час ковыряния в кишках ставить диагноз, а не рубить с плеча налево и направо чужой ПК.
хотелось бы узнать мнение прожженого на этом человека.

но уже хотелось бы узнать какой именно фалик был битым, чтобы на будущее делать своего рода бэкап »
Возможно проблема была не в файле, а в реестре
Вирус может подменить в реестре команду вызова стандартного userinit.exe на вызов себя любимого (размещённого где-нибудь в С:\Documents and settings\All Users\Application Data). Соответственно, при удалении вируса без исправления ссылки система перестаёт работать.

Посему после лечения таких зараз нужно применять AVZ, который проверяет на корректность все пути.
Ну а если лечение производится с загрузочного диска, не позволяющего исправлять ерестр, можно попробовать скопировать стандартный userinit вместо обнаруженного вируса

renspeaker, Рекомендую для подобных случаев AntiWinLocker (http://www.antiwinlocker.ru/AntiWinLockerLiveCD_features.html)

я проверял на правильность адресов в HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и удивился что они были верны после заражения, т.е. стоял Explorer и Userinit и без каких-либо дополнительных параметров и доп.файлов. ну естесственно был заражен сам Userinit, но как я заметил (честные вирусописатели) сохраняют исходник Userinit, но переименовывают его в наподобие 03014D3F.exe. ни один файл не подошел по ни описанию ни по соответствию размера.
El Scorpio, на счет AVZ - пробывал до этого, но честно говоря вопросов появилось еще больше :) буду дальше постигать его
Ment69, спасибо за ссылку, обязательно возьму на вооружение
на мой взгляд очень часто стали появляться случаи заражения именно баннерами из-за невнимательности юзеров или же из-за их наивности и страха, когда им с браузера кричит, орет и моргает сообщение, что браузер или антивирь устарел и нужно во чтобы то ни стало нажать на кнопку ОБНОВИТЬ.
не будьте наивны и со старым софтом жить порой надежнее чем с новым ;)

renspeaker, userinit.exe надо было лечить, а не удалять (хотя его не заражают).
В реестре в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Userinit должен быть равен C:\Windows\system32\userinit.exe

vlad309523 да, так и было userinit.exe, а в строке Shell - eplorer. в С:\Documents and settings\All Users\Application Data были 2 ехе-шника --убил. я почему решил радикально удалить - до этого был случай подобный и там именно было вирусный код, а не исходник зараженный. последний кстати как раз был переименнован и загашен все в той же папке system32. не отрицаю, скорее всего в последнем случае алгоритм работы вируса был иным, а я поторопился. поэтому и заинтересовался, хочу узнать какие были случаи и как их устраняли другие люди.
было бы полезным, если кто отпишет свои примеры с указанием тел.номера вымогателей указанном на баннере. это былобы лучше чем копаться в каком-то RansomeHide, который почему-то ни разу не выручил :(

было бы полезным, если кто отпишет свои примеры с указанием тел.номера вымогателей указанном на баннере » Вы это серьезно :)
Я вам дал ссылку на LiveCD, который практически любой порнобаннер за 5 минут убирает.
Показывать примеры бесполезно, winlocker постоянно совершенствуется, недавно разбирался с одним, который в MBR прописывается.

недавно разбирался с одним, который в MBR прописывается. »
даже так уже?
может рассказик какой оформите по этому поводу кратенький?
как бороться? MBR перезаписывать, или как?

интересно. я что-то не заметил в AntiWinLocker работу с MBR. может расскажете в двух словах, что у вас было и как решили задачу. многим это помогло бы.

Forest Gump, И renspeaker, Замена NTLDR , команда FIXMBR плюс зачистка реестра, временных файлов. Хотя после того как система загрузилась, приняли решение о переустановке системы, слишком все было загажено :) Кстати был не порнобаннер, а предупреждение о не лицензионном софте:)

:read: вечная война с Microsoft'ом. :) понятно