[iskander-k]

Какая ОС у вас ?
В безопасном режиме пробовали загружаться ?

[renspeaker]

операционка XP sp2, но проблему я уже решил банальным восстановлением системы. но уже хотелось бы узнать какой именно фалик был битым, чтобы на будущее делать своего рода бэкап, но всей системы а конкретных объектов. никто не знает?

[iskander-k]

Цитата renspeaker:

но уже хотелось бы узнать какой именно фалик был битым, »

Я сегодня на работу шел и опоздал на 5 минут. Вы можете сказать почему ?
Когда система в рабочем состоянии невозможно уже определить что послужило причиной
сбоя.
Если было заражение то возможно могут остаться следы зловредов.

Цитата renspeaker:

но уже хотелось бы узнать какой именно фалик был битым, чтобы на будущее делать своего рода бэкап, но всей системы а конкретных объектов. »

Резервировать нужно не отдельные файлы, а всю систему!

[renspeaker]

оно конечно же хорошо, когда резервную копию делаешь. но часто бывает, что приходят люди (как в последнем случае) и просят вылечить "больного", но только шоб "печень и почки" сохраните пжалусто! вот и сидишь мозг развиваешь, как бы восстановить систему. поскольку порой данные бывают очень массивные и операции с туда-сюда копированием занимают ЧАСЫ, думаю, было бы проще знать что же именно овечает за учетку, загрузку исполнительных файлов итэдэ, и конечно же что из них "жрет" баннер, чтобы в будущем за час ковыряния в кишках ставить диагноз, а не рубить с плеча налево и направо чужой ПК.
хотелось бы узнать мнение прожженого на этом человека.

[El Scorpio]

Цитата renspeaker:

но уже хотелось бы узнать какой именно фалик был битым, чтобы на будущее делать своего рода бэкап »

Возможно проблема была не в файле, а в реестре
Вирус может подменить в реестре команду вызова стандартного userinit.exe на вызов себя любимого (размещённого где-нибудь в С:\Documents and settings\All Users\Application Data). Соответственно, при удалении вируса без исправления ссылки система перестаёт работать.

Посему после лечения таких зараз нужно применять AVZ, который проверяет на корректность все пути.
Ну а если лечение производится с загрузочного диска, не позволяющего исправлять ерестр, можно попробовать скопировать стандартный userinit вместо обнаруженного вируса

[Ment69]

renspeaker, Рекомендую для подобных случаев AntiWinLocker

[renspeaker]

я проверял на правильность адресов в HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и удивился что они были верны после заражения, т.е. стоял Explorer и Userinit и без каких-либо дополнительных параметров и доп.файлов. ну естесственно был заражен сам Userinit, но как я заметил (честные вирусописатели) сохраняют исходник Userinit, но переименовывают его в наподобие 03014D3F.exe. ни один файл не подошел по ни описанию ни по соответствию размера.
El Scorpio, на счет AVZ - пробЫвал до этого, но честно говоря вопросов появилось еще больше буду дальше постигать его
Ment69, спасибо за ссылку, обязательно возьму на вооружение
на мой взгляд очень часто стали появляться случаи заражения именно баннерами из-за невнимательности юзеров или же из-за их наивности и страха, когда им с браузера кричит, орет и моргает сообщение, что браузер или антивирь устарел и нужно во чтобы то ни стало нажать на кнопку ОБНОВИТЬ.
не будьте наивны и со старым софтом жить порой надежнее чем с новым

[vlad309523]

renspeaker,

Код:

userinit.exe

надо было лечить, а не удалять (хотя его не заражают).
В реестре в ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

Userinit

должен быть равен

Код:

C:\Windows\system32\userinit.exe

[renspeaker]

vlad309523 да, так и было userinit.exe, а в строке Shell - eplorer. в С:\Documents and settings\All Users\Application Data были 2 ехе-шника --убил. я почему решил радикально удалить - до этого был случай подобный и там именно было вирусный код, а не исходник зараженный. последний кстати как раз был переименнован и загашен все в той же папке system32. не отрицаю, скорее всего в последнем случае алгоритм работы вируса был иным, а я поторопился. поэтому и заинтересовался, хочу узнать какие были случаи и как их устраняли другие люди.
было бы полезным, если кто отпишет свои примеры с указанием тел.номера вымогателей указанном на баннере. это былобы лучше чем копаться в каком-то RansomeHide, который почему-то ни разу не выручил