Ra-18 23-01-2013 23:10
раз в безопасном нормально грузится. запускай autoruns от Русиновича в безопасном с проверкой подписей. и высматриваешь зловреда, обращая пристальное внимание на не подписанные. почитай чем отличается запуск безопасного от обычного. поймешь кем он может прикинутся. как то так, я бы действовал
artem-izh 23-01-2013 23:11
Вооо! Название-то
quote:
Originally posted by Ra-18:
autoruns от Русиновича
я и позабыл. В голове крутилось autoruner, но такой проги не нашел. Благодарю за наводку. Хотя сдаётся мне зловред кого-то подменил или дописался в конец файла. Ну посмотрю вобщем.
Morituruz 24-01-2013 09:19
Воспользоваться Kaspersky Virus Removal Tool или CureIt гордость не позволяет?
artem-izh 24-01-2013 13:45
Не видят. Курейт вобще никогда на моей практике не видел баннеры.Резидент вебовский заразу не пускает, если установлен. А курейт уже готовое заражение не видит. В прошлый раз, даже скрин выкладывал. Бодро рапортующий об отсутствии вирусов курейт и баннер, на заднем плане висящий. Тогды я его вместо юзеринита прописал в реестре. Что бы стартанул. Ибо тогдашний баннер и в безопасном стартовал.
artem-izh 25-01-2013 11:45
Ёшкина мышь... Зловред лежал в корне диска Д! Стандартный xxx_video.exe! Но! Самое-то интересное... Autoruns'ом посмотрел и его там не было. Вобще не было никаких намёков в автозагрузке. Всё дефолтное виндовое во всех ветках реестра. Никаких подозрительных dll'ок. А я уже успел заменить userinit.exe, explorer.exe и taskmrg.exe на всякий случай. Заменил. Баннер перестал стартовать, но получил черный экран с курсором и даже Ctrl+Shift+Esc не пашет. В любом безопасном тоже самое. Все советы из инета на тему черного экрана не помогли. Хотел уже винду переставлять. Загрузил System Rescue CD для копирования файлов и увидел в корне диска Д среди множества авишек эту гадость. Удалил. Сейчас попытаюсь Erd'шником прогнать проверку системных файлов и chkdsk /R в догонку. Авось исправит.
tigle 25-01-2013 12:27
Восстановление системы никак не поможет?
artem-izh 25-01-2013 13:07
Неа, ибо было отключено))
ZX-ruban 25-01-2013 16:22
Самый простой способ укрепить дружбу с девушкой - подарить ей компьютер без антивирусника. Без вашей помощи теперь она никуда!
Слямзил тут http://ziza.qip.ru/links/1359094078-podborka.html
Ra-18 25-01-2013 21:56
заменило shell похоже
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Правильные значения:
userinit = C:\Windows\System32\userinit.exe,
Shell = Explorer.exe
artem-izh 25-01-2013 23:16
Эти ветки я всегда в первую очередь проверяю. Они чисты. В авторансе не было эксплорера и юзеринита. В разделе имэйдж фалй экзекушн тоже не было никаких помен.