Привет всем, схвтил баннер, отпрвить смс на номер 5188, вроде как удалил через live cd, но осталась беда,

при каждом входе в систему появляется это окошко с вводом смс, и приходится вводить логин и пароль администратора, а моя учетка

вовсе пропала хотя она видится в папке USERS.


Помогите ребят , как вернуть учетку и убрать это навязчивое окно и ввод логина с паролем.

Спасибо!

Drec554,

В реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр Shell - значение explorer.exe

Параметр Userinit - значение C:\Windows\system32\userinit.exe,
запятая обязательно.

Drec554, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи (http://forum.oszone.net/post-717373-2.html). Переношу в лечение.

okshef,
Я вас понял приду с работы выложу логи, а вот еще беда , когда вчера проверял касперским в live cd, нашел троян в lsas.exe, но лечить не стал удалил, поискал это оказывается целая служба, как мне этот файл восстановить или сначала логи?

Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/uvsfiles.htm) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить с выбором пользователя" - укажите проблемную учётку.
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)

okshef,

regist,

Когда я пишу имя пользователя Dmitry , папка под таким именем есть в папке C:\Users\Dmitry

пишет неверное имя или пароль!

Что делать!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Mozilla\hheocpm.exe','');
QuarantineFile('C:\Windows\system32\umghost.exe','');
QuarantineFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe','');
DeleteFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe');
DeleteFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe','32');
DeleteFile('C:\Windows\system32\Tasks\{303E6E14-B9E9-44EA-B80C-C4C3C5BA296F}','64');
DeleteFile('C:\Windows\system32\umghost.exe','32');
DeleteFile('C:\Mozilla\hheocpm.exe','32');
DeleteFile('C:\Windows\system32\Tasks\kdbmfkb.job','64');
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(10);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Когда я пишу имя пользователя Dmitry , папка под таким именем есть в папке C:\Users\Dmitry
пишет неверное имя или пароль! »
сделайте лог uVS под текущим пользователем.

сделайте лог uVS под текущим пользователем.

После скрипта написанного выше выполните ещё

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\USERS\DMITRY\APPDATA\LOCAL\TEMP\RARSFX0\BIN\CONFIG\TELEPAT.DLL
delall %SystemDrive%\MOZILLA\HHEOCPM.EXE
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref HTTP://WEBALTA.RU/SEARCH
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер [B]может быть перезагружен[/B Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).

потом жду
Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
и заодно отпишитесь, что с проблемой после этих действий ?

да сама беда уже не в вирусе, беда в том что он после себя оставил много .....

Вот у меня заходил в виду сам по себе, теперь выскакивает экран с отпрвкой смс,

жму ок, далее ввожу логин и пароль администратора, хотя у меня учетки администратора и не было, была Dmitry/ но при вводе этого логина просит пароль,


КАК МНЕ ВЕРНУТЬ учетку свою, ее винда не видит и этот экран с смс убрать и третье сделать чтобы автоматом все проскакивало , вида загружалась!

Drec554, http://virusinfo.info/showthread.php?t=144926 выберите, где будете продолжать лечение, вторая тема будет закрыта.
Где ещё успели создать тему ?

regist,

какая разница где, зачем и почему, я спрашиваю совет вы предлагаете варианты, разные сайты? Дублирование тем на разных сайтах запрещено что ли правилами?
закрывай, если хочешь, от того, что я у разных людей спрашиваю один и тот же вопрос, никому не вредит)

какая разница где, зачем и почему, я спрашиваю совет вы предлагаете варианты, разные сайты? Дублирование тем на разных сайтах запрещено что ли правилами? »
да одновременное лечение на разных сайтах запрещено для вашей же пользы. Не зная о рекомендациях хелпера с другого ресурса могут дать рекомендацию, которая будет противопоказана в данном случае. Это равносильно лечить у разных врачей, которые выписывают разные лекарства и не знают, что ещё другой врач даёт лекарства. И как минимум получаем искажённую картину в логах, что опять мешает диагностике и правильному лечению.

вы предлагаете варианты »
мы не варианты предлагаем, а инструкции, которым надо следовать в точности.

@moderator, закройте тему пользователь будет продолжать лечение на другом ресурсе.

Drec554, не запрещено, но уважайте труд помогающих вам. Это раз, два - подобным способом систему можно "залечить" до полной неработоспособности. И вина будет только ваша.

Ладно это уже флуд, пока толку никакого за 3 часа)))