Восстановление Windows7 после баннера - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Восстановление Windows7 после баннера (http://forum.oszone.net/showthread.php?t=267346)

Восстановление Windows7 после баннера

Привет всем, схвтил баннер, отпрвить смс на номер 5188, вроде как удалил через live cd, но осталась беда,

при каждом входе в систему появляется это окошко с вводом смс, и приходится вводить логин и пароль администратора, а моя учетка

вовсе пропала хотя она видится в папке USERS.

Помогите ребят , как вернуть учетку и убрать это навязчивое окно и ввод логина с паролем.

Спасибо!

Drec554,

В реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр Shell - значение explorer.exe

Параметр Userinit - значение C:\Windows\system32\userinit.exe,
запятая обязательно.

Drec554, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи. Переношу в лечение.

okshef,
Я вас понял приду с работы выложу логи, а вот еще беда , когда вчера проверял касперским в live cd, нашел троян в lsas.exe, но лечить не стал удалил, поискал это оказывается целая служба, как мне этот файл восстановить или сначала логи?

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить с выбором пользователя" - укажите проблемную учётку.
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

regist,

Когда я пишу имя пользователя Dmitry , папка под таким именем есть в папке C:\Users\Dmitry

пишет неверное имя или пароль!

Что делать!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantineEx(true); 

 QuarantineFile('C:\Mozilla\hheocpm.exe','');

 QuarantineFile('C:\Windows\system32\umghost.exe','');

 QuarantineFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe','');

 DeleteFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe');

 DeleteFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe','32');

 DeleteFile('C:\Windows\system32\Tasks\{303E6E14-B9E9-44EA-B80C-C4C3C5BA296F}','64');

 DeleteFile('C:\Windows\system32\umghost.exe','32');

 DeleteFile('C:\Mozilla\hheocpm.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\kdbmfkb.job','64');

 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

ExecuteSysClean;

 ExecuteRepair(10);

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Цитата:

Цитата Drec554

Когда я пишу имя пользователя Dmitry , папка под таким именем есть в папке C:\Users\Dmitry
пишет неверное имя или пароль! »

сделайте лог uVS под текущим пользователем.

После скрипта написанного выше выполните ещё

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.81.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\USERS\DMITRY\APPDATA\LOCAL\TEMP\RARSFX0\BIN\CONFIG\TELEPAT.DLL delall %SystemDrive%\MOZILLA\HHEOCPM.EXE delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK delref HTTP://WEBALTA.RU/SEARCH restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер [b]может быть перезагружен[/B
Подробнее читайте в этом руководстве.

потом жду

Цитата:

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

и заодно отпишитесь, что с проблемой после этих действий ?

да сама беда уже не в вирусе, беда в том что он после себя оставил много .....

Вот у меня заходил в виду сам по себе, теперь выскакивает экран с отпрвкой смс,

жму ок, далее ввожу логин и пароль администратора, хотя у меня учетки администратора и не было, была Dmitry/ но при вводе этого логина просит пароль,

КАК МНЕ ВЕРНУТЬ учетку свою, ее винда не видит и этот экран с смс убрать и третье сделать чтобы автоматом все проскакивало , вида загружалась!

Drec554, http://virusinfo.info/showthread.php?t=144926 выберите, где будете продолжать лечение, вторая тема будет закрыта.
Где ещё успели создать тему ?

regist,

какая разница где, зачем и почему, я спрашиваю совет вы предлагаете варианты, разные сайты? Дублирование тем на разных сайтах запрещено что ли правилами?
закрывай, если хочешь, от того, что я у разных людей спрашиваю один и тот же вопрос, никому не вредит)

Цитата:

Цитата Drec554

какая разница где, зачем и почему, я спрашиваю совет вы предлагаете варианты, разные сайты? Дублирование тем на разных сайтах запрещено что ли правилами? »

да одновременное лечение на разных сайтах запрещено для вашей же пользы. Не зная о рекомендациях хелпера с другого ресурса могут дать рекомендацию, которая будет противопоказана в данном случае. Это равносильно лечить у разных врачей, которые выписывают разные лекарства и не знают, что ещё другой врач даёт лекарства. И как минимум получаем искажённую картину в логах, что опять мешает диагностике и правильному лечению.

Цитата:

Цитата Drec554

вы предлагаете варианты »

мы не варианты предлагаем, а инструкции, которым надо следовать в точности.

@moderator, закройте тему пользователь будет продолжать лечение на другом ресурсе.

Drec554, не запрещено, но уважайте труд помогающих вам. Это раз, два - подобным способом систему можно "залечить" до полной неработоспособности. И вина будет только ваша.

Ладно это уже флуд, пока толку никакого за 3 часа)))