Порно баннер вместо userinit

[thrash]

Доброго времени суток. Такая ситуация сложилась: бук с ХР, на него подцепили порнобаннер. Запускается он по ходу пьесы вместо userinit.exe. Зашёл на диск с другой оси, удалил всё содержимое временных папок, просмотрел на глаз Windows и Windows\System32? вроде ни чё подозрительного не нашёл. Однако система загружается и после экрана приветствия выскакивает предложение отправить смс. Вроде не первый год лечу машины с подобной заразой. Обычно удалял содержимое временных папок, перегружал систему в безопасном режиме, открывал Regedit, правил Winlogon и всё получалось. Но тут проблема посерьёзнее. В безопасном режиме система сваливается в синий экран. Временные папки пусты.
Загрузить её нельзя. Вот я думаю, возможно ли как нить поравить реестр заражённой винды из под другой оси. Например открыв какой нить прогой ветку с winlogon и поправив путь к userinit?
Может кто слышал о подобном? Чёт поиск ни куда меня не привёл

[V_P_Zadov]

ERD Commander может многое. А удалить банер можно этим http://support.kaspersky.ru/viruses/deblocker или этим http://www.drweb.com/unlocker/index/?lng=ru

[Restart]

Вот я думаю, возможно ли как нить поравить реестр заражённой винды из под другой оси

А то...
виндовый ли-СД, например.

Я пользуюсь вот этим http://www.sysresccd.org/Main_Page
Там внутри программа ntpasswd
И вообще много полезных штук

[Alss]

Любой Лайв СД и прога Registry Editor PE на флешке (http://regeditpe.sourceforge.net) Открывает все виндовые реестры, которые есть на дисках (странно то, что на их странице сразу предлагают скачать более раннюю версию 0.2b. Не рекомендую, там есть версия 1.0 , более стабильная)
И кстати, если у тебя заблокирован безопасный режим, а система в обычном позволяет хоть что-то запустить, то для разблокировки можно запустить восстановление безопасного режима restore_safe_boot.reg (яндекс в помощь).
Ну и кроме ветки winlogon рядом есть ветка windows строчкой выше. Там тоже иногда прячется зараза в строке AppInit_Dlls.

[Vose]

thrash
Сейчас долечиваю машинку с полноэкранным баннером-вымогателем (не порно!). Гадёныш просто информирует юзера от том, что в рез-те посещения порно и проч. аналогичн. ресурсов, его комп стал распространителем оного и, в связи с нарушением пользователем российского законодательства, работа его компа заблокирована. И предлагается положить через теминал оплаты 400 р. на номер такого-то абоненнта Билайн, а на терминальном чеке ему будет выдан код разблокировки.
Никакой режим не работает - блочится ВСЁ. Из под лайв CD глянул userinit - но чего-то ничего подозрительного не нашёл. Да и файликов подозрительных в обычных местах глазом не заметил. Не мудрствуя лукаво, просто накатил систему поверх из дистриба - помогло! Сейчас разные блокировки в реестре поубираю, да cure-It и AVZ просканю для окончательной очистки и ОК.
ЗЫ. Модераторы, может всё эту тему в прилепленную антивирусную подшить стоит ?? А то у автора как-то не срослось, сразу туда, где надо написать, хотя он вроде и новичёк здесь...

[thrash]

Vose
Во, во. Именно такой баннер и был. Сидел в моих документах, в какой то там папке. Путь к нему прописывал параметр Shell в ветке winlogon. По умолчанию же там должен быть параметр Explorer.exe Ну или путь к проводнику если он вдруг где нить в другом месте.
Всё пролечил. И, кстати, я нашёл потом файл с exe-шным расширением, переименовал его сделав расширение вида .ex#
И потом, проверил его каспером с новыми базами. Он гордо рапортовал что вирусов нет. В принципе, сам то файл не вирус. Вирусом был какой то другой, какой сделал изменение в реестре.
А EDR Commander, я стащил. Попробовал. Вещь классная, с чё я раньше о ней не знал....

[thrash]

Alss
Скачал, но не вкурил как ей пользоваться. И почему там архив CAB и как её запустить?

[Alss]

thrash
CAB легко открывается в RAR-е как обычный архив. После распаковки запустить файл minidriver.exe . Откроется окно как у обычного виндового Regedit , только реестры там будут все найденные ( типа ветки HKLM_System с лайв СД, HKLM_System_on_C - винда на диске С, HKLM_System_on_D - винда на D, если таковая есть и т.д.)

[thrash]

Alss
Распаковать то я смог. После запуска у меня вылазит окно с надписью "Is the installation of Windows you wish to modify located at C: ("system")?" И варианты ответов "да" "нет" и "отмена"

[Alss]

Этот вопрос обозначает, желаешь ли ты вносить изменения в реестр ОС, которая на диске "С" (с последующей модификацией самого реестра). Отвечаешь "да". После изменений в реестре при закрытии прога будет просто спрашивать записать внесенные изменения или нет. Соответственно, если мы убираем вирусы и вносим в реестр ОС изменения с лайв СД, то надо говорить "да".

[thrash]

Alss
жму "да" и вылазит окно с таким содержанием "Registry Editor PE vl .Oa was not able to load the remote SAM hive. Any loaded hives will be unloaded and then Registry Editor PE will close."
Вариантов ответа нету. Только "ок" жму на ОК и тишина

[Leo1012]

1.Попробуйте Universal Virus Sniffer v3.24Russian version.Говорят,что может запускается как из под работающей системы, так и с загрузки с LiveCD запустил эту прогу, выбрал папку Windows просканировал, и она сразу же выдают подозрительные элементы в автозагрузке,удалить те которые без подписей.
2 WindowsUnlocker от DjFly
3 ransomhide-подбирает номер,если есть чистая ЭВМ
4На одном из форумов прочитал,что это нужно лечить переводом даты в BIOS на 60 дней вперед.
Сам не пробовал не первый ,не второй,не четвертый варианты.
Свои винлоки лечил этим http://www.drweb.com/unlocker/index/,а затем уже спокойно удалял Dr.Web Cureit.
Если вылечите,отпишитесь.

Serega S.U.
Отредактировал Ваши ссылки в никуда. Оставил только рабочее.

[Alss]

thrash
Запускать нужно с лайв СД, а не с рабочей ОСи . Почему так - не знаю

[thrash]

Leo1012
Вылечил. В 6 посту описал как.
Alss
Ага, спс. Потом разобрался. А то я с действующей винды пытался её же реестр поправить