[решено] Появился рекламный модуль

okshef · Конфигурация компьютера

Dador,

Цитата:

3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]

Dador · Отправлено: **23:42, 16-05-2010** | #3

Цитата okshef:

Dador,
Цитата:
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне] »

уже пробовал все (без повторов)

Цитата:

(пробовал коды, не подходят)

okshef · Конфигурация компьютера

Dador, каким LiveCD пользовались? Есть ли с у вас диск с мини-Windows XP?

Dador · Отправлено: **23:56, 16-05-2010** | #5

Цитата okshef:

Dador, каким LiveCD пользовались? Есть ли с у вас диск с мини-Windows XP? »

LiveCD от DrWeb + скачал с торрента Live CD Windows + в первый раз "оглядывался" через Ubuntu
Второй не пригодился т.к. касперский в нем не запустился, как и CureIt.

кстати при запуске gpedit.msc возникает ошибка "память не может быть written", как и подобная ошибка возникает при загрузке программ из автозагрузки
если после ошибки нажать ок, gpedit.msc запускается на секунду и вылетает весь explorer

okshef · Конфигурация компьютера

Цитата Dador:

Второй не пригодился »

Скачайте Regedit PE 1.1.1.0
Загрузитесь со второго диска и проверьте, запустится ли программа.

Dador · Отправлено: **00:14, 17-05-2010** | #7

Цитата okshef:

Скачайте Regedit PE 1.1.1.0
Загрузитесь со второго диска и проверьте, запустится ли программа. »

как я понял, с LiveCD WinXP? Да, работает. Только как через неё отредактировать реестр установленной windows (та что заражена)? Или для чего-то другого?

okshef · Конфигурация компьютера

Загрузитесь с LiveCD, запустите RegeditPE, перейдите в ветвь HKEY_LOCAL_MACHINE\_X_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon. X - буква раздела с системой. Значение параметра shell должно быть explorer.exe (запятой в конце нет), параметра userinit - X:\WINDOWS\system32\userinit.exe, - именно так, с запятой, и больше ничего. Лишние записи удалите. Если в значениях этих параметров будут указаны другие программы (типа X:\programFiles\plugin.exe) - пройдите по указанному пути и заархивируйте эти файлы, после архивирования сами файлы удалите.
Выполните поиск в реестре по RUN, при этом в параметрах поиска оставьте только "Имена разделов" и "Искать только строку целиком". Все найденные разделы экспортируйте в виде файлов реестра на жесткий диск и после окончания поиска и перезагрузки прикрепите к следующему сообщению.
Особенно важен раздел HKEY_LOCAL_MACHINE\X_comp_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dador · Отправлено: **01:45, 17-05-2010** | #9

Цитата okshef:

Загрузитесь с LiveCD, запустите RegeditPE, перейдите в ветвь HKEY_LOCAL_MACHINE\_X_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon. X - буква раздела с системой. Значение параметра shell должно быть explorer.exe (запятой в конце нет), параметра userinit - X:\WINDOWS\system32\userinit.exe, - именно так, с запятой, и больше ничего. Лишние записи удалите. Если в значениях этих параметров будут указаны другие программы (типа X:\programFiles\plugin.exe) - пройдите по указанному пути и заархивируйте эти файлы, после архивирования сами файлы удалите.
Выполните поиск в реестре по RUN, при этом в параметрах поиска оставьте только "Имена разделов" и "Искать только строку целиком". Все найденные разделы экспортируйте в виде файлов реестра на жесткий диск и после окончания поиска и перезагрузки прикрепите к следующему сообщению.
Особенно важен раздел HKEY_LOCAL_MACHINE\X_comp_SOFTWARE\Microsoft\Windows\CurrentVersion\Run »

сeйчас shell=Explorer.exe rundll32.exe srnh.lto iqfnr
исправил на explorer.exe, но при загрузкe всe равно баннeр ecть,в run на сколько понял ничeго "такого" нeту
возможно поможeт

Файлы: (пустыe нe прикрeпил, думаю нe надо, там только пустой дeфолт)

okshef · Конфигурация компьютера

Dador, пройдитесь еще раз поиском по

Цитата Dador:

srnh.lto iqfnr »

и удалите все упоминания.
Снимите блокировку диспетчера задач: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр REG_DWORD DisableTaskMgr со значением 1
Автозапуск чист, поищите еще по StartUp