полседствия после порнобанера
 

доброго времени суток, уважаемые админы и модеры!
у меня на ноутбуке после того как я вручную пытался чистить порнобанер с требованием пополнить баланс сотового возникла следующая проблемка. я удалил зараженный userinit.exe, а переименованный 03014D3F.exe не нашел. после долгих мытарств попробЫвал скопировать userinit.exe с рабочей системы (понимал что зря :)) как полагается удалил экзэшники с С:\Documents and settings\All Users\Application Data, заменил загрузчик диспетчера задач, подчистил реестр (наудивление shell не был изменен) теперь при входе в систему запрашивает имя пользователя и пароль. при попытке входа начинает загружать учетку и тут же сразу сохраняет параметры и опять в окно приветствия. я уж и пробЫвал восстановить все зараженные файлы (типа отката сделать) но все утратил безвозвратно.
думаю может passwordrenew поможет или что-нибудь в этом роде. подскажите пожалуйста что сделать, какой файлик раскопать, как восстановить вход в учетку?

Какая ОС у вас ?
В безопасном режиме пробовали загружаться ?

операционка XP sp2, но проблему я уже решил банальным восстановлением системы. но уже хотелось бы узнать какой именно фалик был битым, чтобы на будущее делать своего рода бэкап, но всей системы а конкретных объектов. никто не знает?

Я сегодня на работу шел и опоздал на 5 минут. Вы можете сказать почему ?
Когда система в рабочем состоянии невозможно уже определить что послужило причиной
сбоя.
Если было заражение то возможно могут остаться следы зловредов.

Резервировать нужно не отдельные файлы, а всю систему!

оно конечно же хорошо, когда резервную копию делаешь. но часто бывает, что приходят люди (как в последнем случае) и просят вылечить "больного", но только шоб "печень и почки" сохраните пжалусто! вот и сидишь мозг развиваешь, как бы восстановить систему. поскольку порой данные бывают очень массивные и операции с туда-сюда копированием занимают ЧАСЫ, думаю, было бы проще знать что же именно овечает за учетку, загрузку исполнительных файлов итэдэ, и конечно же что из них "жрет" баннер, чтобы в будущем за час ковыряния в кишках ставить диагноз, а не рубить с плеча налево и направо чужой ПК.
хотелось бы узнать мнение прожженого на этом человека.

Возможно проблема была не в файле, а в реестре
Вирус может подменить в реестре команду вызова стандартного userinit.exe на вызов себя любимого (размещённого где-нибудь в С:\Documents and settings\All Users\Application Data). Соответственно, при удалении вируса без исправления ссылки система перестаёт работать.

Посему после лечения таких зараз нужно применять AVZ, который проверяет на корректность все пути.
Ну а если лечение производится с загрузочного диска, не позволяющего исправлять ерестр, можно попробовать скопировать стандартный userinit вместо обнаруженного вируса

renspeaker, Рекомендую для подобных случаев AntiWinLocker

я проверял на правильность адресов в HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и удивился что они были верны после заражения, т.е. стоял Explorer и Userinit и без каких-либо дополнительных параметров и доп.файлов. ну естесственно был заражен сам Userinit, но как я заметил (честные вирусописатели) сохраняют исходник Userinit, но переименовывают его в наподобие 03014D3F.exe. ни один файл не подошел по ни описанию ни по соответствию размера.
El Scorpio, на счет AVZ - пробЫвал до этого, но честно говоря вопросов появилось еще больше :) буду дальше постигать его
Ment69, спасибо за ссылку, обязательно возьму на вооружение
на мой взгляд очень часто стали появляться случаи заражения именно баннерами из-за невнимательности юзеров или же из-за их наивности и страха, когда им с браузера кричит, орет и моргает сообщение, что браузер или антивирь устарел и нужно во чтобы то ни стало нажать на кнопку ОБНОВИТЬ.
не будьте наивны и со старым софтом жить порой надежнее чем с новым ;)

renspeaker, надо было лечить, а не удалять (хотя его не заражают).
В реестре в ветке параметр должен быть равен

vlad309523 да, так и было userinit.exe, а в строке Shell - eplorer. в С:\Documents and settings\All Users\Application Data были 2 ехе-шника --убил. я почему решил радикально удалить - до этого был случай подобный и там именно было вирусный код, а не исходник зараженный. последний кстати как раз был переименнован и загашен все в той же папке system32. не отрицаю, скорее всего в последнем случае алгоритм работы вируса был иным, а я поторопился. поэтому и заинтересовался, хочу узнать какие были случаи и как их устраняли другие люди.
было бы полезным, если кто отпишет свои примеры с указанием тел.номера вымогателей указанном на баннере. это былобы лучше чем копаться в каком-то RansomeHide, который почему-то ни разу не выручил :(

Вы это серьезно :)
Я вам дал ссылку на LiveCD, который практически любой порнобаннер за 5 минут убирает.
Показывать примеры бесполезно, winlocker постоянно совершенствуется, недавно разбирался с одним, который в MBR прописывается.

даже так уже?
может рассказик какой оформите по этому поводу кратенький?
как бороться? MBR перезаписывать, или как?

интересно. я что-то не заметил в AntiWinLocker работу с MBR. может расскажете в двух словах, что у вас было и как решили задачу. многим это помогло бы.

Forest Gump, И renspeaker, Замена NTLDR , команда FIXMBR плюс зачистка реестра, временных файлов. Хотя после того как система загрузилась, приняли решение о переустановке системы, слишком все было загажено :) Кстати был не порнобаннер, а предупреждение о не лицензионном софте:)

:read: вечная война с Microsoft'ом. :) понятно