Сии баннеры видал давно и легко удалял. Но вот на сей раз никак не могу обнаружить корень зла! Случай самый нынче популярный. Windows заблокирован. Ссылается, негодяй, на Microsoft Security Essentials и пишет обычную для этого чушь. Баннер синего цвета.
Итак. Что нам извстно о баннерах? Прописываются они в автозагрузку. Это либо HKLM/Software/Microsoft/Windows/Current Version/Run, хотя в этой ветке давно уже не встречал. Либо HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon в переменных Shell и Userinit. Там эту синюшную гадость тоже ни разу не видал. Эти ветки использовались лишь на заре баннеростроения. Всегда отыскивал эту штуку в HKCU/Software/Microsoft/Windows/Current Version/Run. Сам файл можно было найти в папках кэша браузеров, либо в папке юзера Downloads, либо прямо в Моих документах или даже на рабочем столе. Ну вобщем куда загрузит, там и будет. Так же всегда оно было видно через утилиту msconfig. Но на сей раз ни по одному из указаных путей его нет! Ни в реестре, ни на диске файла. В msconfig'е не виден. Поиск по xxx_video, *.exe, дате изменения и размеру не дал результатов. Забрал ноут себе. Ибо раобрадзе нада! Что бы потом за 5 минут удалять опять. Созываю консилиум!
Ах да! Чуть не забыл! Прикрепляю чудесную фотку. Не монтаж! Снято принтскрином с подопытного ноута.

И ещё! В процессах в диспетчере задач тоже ничего подозрительного! У меня остаётся одна версия. Он перезаписал какой-то из системных файлов. Но почему тогда это пропустил курейт? Курейта запустил следующим образом. Закинул его файлик на диск С, и вбил путь до него рядышком с юзеринитом. Баннер стартует первым, курейт спустя секунд 20-30. После запуска курейта становится возможным запуск Дисептчера задач по Ctrl+Shift+Esc, а уже из него mspaint и других приложений. В безопасных режимах баннер не запускается.

экзешник там частенько только один - со странным названием. загрузи любую другую систему и поищи по дате создания, изменения. уже с такими сталкивался - на моей практике встречал там только один экзешник.

кстати на семерке и висте получалось выйти из системы, потом зайти и успеть запустить диспетчер задач, а там уже грохнуть процесс - потом просто найти экзешник по имени процесса

Дык нету в диспетчере никого подозрительного. При курейте запускал.

тогда поищи измененные по дате в профиле и системных папках

Искал, нету свежаков)))

не изменение, а создание ищем. так же бывает такой прикол что дата создания датируется 1970 годом, поиск *.* и сорт. по дате

Был случай когда пришлось менять таскменеджер и эксплорер, по случаю заражения последних...

sethc заменить на cmd и combofix натравить с hijackthis

http://support.kaspersky.ru/viruses/solutions?qid=208642240
ну не умею я руками гада давить.
Попробуйте разных производителей антивирусов.

часто нахожу заразу в c:\Documents and Settings\All Users\Application Data\
даже если в реестре почистить указанные ТС ветки, но не удалив заразу из Application Data, в реестре после перезагрузки они снова возникают

Частенько сталкивался с тем, что гаденыши заражали диспетчер задач и другие системные файлы. Допустим при нажатии комбинации ctrl+alt+del баннер появлялся снова. И корпоративный web его не определял. Может web live usb попробуешь?

Да уже за неимением времени винду переставил. Там уже итак нужно было. ФС в хлам была. Разумеется application data проверял. Explorer и task не заражены, ибо в безопасном режиме ладом стартует без баннера. Вобщем остаётся только поиск по созданию тщательнее проводить.

quote:

---

Originally posted by artem-izh:
Да уже за неимением времени винду переставил. Там уже итак нужно было. ФС в хлам была. Разумеется application data проверял. Explorer и task не заражены, ибо в безопасном режиме ладом стартует без баннера. Вобщем остаётся только поиск по созданию тщательнее проводить.

---

В автозагрузке смотрел ?
Давненько наблюдал одного индивидуума там с атрибутами скрытый и системный.

Конечно))) Все телодвижния описаны выше. В таких случаях всегда показываются и скрытые и системные.