Форум tobolsk.net

Приветы. Есть один баннер. ОС Windows XP (Zver сборка)
Блокирует сразу при входе в Windows, не даёт запускать Выполнить, cmd, диспетчер, explorer - чистый рабочий стол с окном и требованием отправить смс на номер.
По номеру в поисковиках ничего не находит кроме базы от мегафона.
Компьютер успешно запускается через F8 с загрузкой командной строки. Запускается и Проводник.
Сканировал AVZ, CureIt, TDSSKiler и AVPTool от Касперского, везде по нулям, никаких угроз.
Чистка автозапуска через msconfig не помогла, через AVZ в менеджер автозагрузки не заходит, программа намертво виснет.
Из автозагрузки были удалены подозрительные процессы.
На сайтах антивирусов нет данных по номеру телефона на который требуют выслать смс.
Конечно можно переустановить Windows, благо диски поделены, и F8 работает, но всё же может есть что ещё попробовать?
С таким упорным вирусом сталкиваюсь впервые, обычно всё решается за полчаса, час проверкой утилитами.
Сейчас комп тестируется AVPTool, позже смогу выложить скриншот, если требуется

F@R!K.RU писал(а):может есть что ещё попробовать?

Антивирусный софт может его и не увидеть, во первых свежак, во вторых может и не вирус, а какая нить прога в журнале заданий, вот и всё. Скачай диск ERDComander. Загрузи версию, соответствующую твоей ОС, затем запусти восстановление системы и откатись на несколько дней назад. В бум этих банеров, только так и работал, намного быстрее получалось, чем к каждому искать ключи и лекарства.. Справедливо при условии что восстановление системы включено. В любом случае сможешь посмотреть автозагрузку и реестр твоей ОС на жестком диске, возможно там подменены ключи запуска проводника и т.д. да и вычистить все temp'ы, что тоже бывает порой достаточно.

Saplyaffka писал(а):Справедливо при условии что восстановление системы включено. В любом случае сможешь посмотреть автозагрузку и реестр твоей ОС на жестком диске, возможно там подменены ключи запуска проводника и т.д. да и вычистить все temp'ы, что тоже бывает порой достаточно.

Спасибо, попробую программу, только пройдёт полное сканирование AVP
И вопрос, с usb запустится программа? Восстановление отключено, кстати. Машина не моя.

А я в подобных случаях грузил систему с Hirens BootCD, запускал WindowsXP Lite и какую-то стандартную утилиту из набора Hirens (Autoruns вроде), выбирал investigate offline system, потом путь к системной папке Windows, потом путь до юзера и т.п. После чего из автозагрузки выкидывал все лишнее. В некоторых случаях троянец подменяет explorer.exe, поэтому приходится копировать либо с незараженной системы, либо с установочного диска

Всем спасибо за советы, заразу удалил.
Была обычная подмена explorer.exe через реестр. Зря сделал много лишних телодвижений, нужно было сразу пораскинуть мозгами и рукаи, всё таки ручную работу не заменят никакие утилиты.)
Помогла обычная проверка реестра \winlogon параметра shell
Странно только, что ни одна утилиа не определила подмену в этом ключе
Тему можно закрыть.

ru писал(а):А я в подобных случаях грузил систему с Hirens BootCD, запускал WindowsXP Lite и какую-то стандартную утилиту из набора Hirens (Autoruns вроде), выбирал investigate offline system, потом путь к системной папке Windows, потом путь до юзера и т.п. После чего из автозагрузки выкидывал все лишнее. В некоторых случаях троянец подменяет explorer.exe, поэтому приходится копировать либо с незараженной системы, либо с установочного диска

Утилитой Autoruns значение реестра не изменишь, а подменяется, как правило, значение ключа...хотя в последних версиях Hrens'a, редактор реестра содержит ветки установленной ОС по мимо загруженой с компакта.

F@R!K.RU реестр из безопасного режима правил?

Saplyaffka писал(а):Утилитой Autoruns значение реестра не изменишь, а подменяется, как правило, значение ключа...хотя в последних версиях Hrens'a, редактор реестра содержит ветки установленной ОС по мимо загруженой с компакта.

Вот я не помню точно название утилиты, а грузить Hirens ради того, чтоб вспомнить не хочу... Может просто обычный редактор реестра