Форум.FreeDom

[Diesel]

Сегодня принесли бук, с очень веселым баннером (и содержание, и ошибки).

IMG20110227_001.jpg

(667.46 Кб) Скачиваний: 0

Данный блокиратор скомпилирован из 3х вирусов(Tr/Obfuscated.29996c, Tr/Crypt.XPACK.Gen2, Tr/Agent.ccl)
Собственно сабж по удалению:
Загружаемся с любого LiveCD , с какого есть доступ к файловой системе, заходим в корень диска, где установлен windows и удаляем следущие файлы и папки:
RECYCLER(Полностью содержимое папки)саму папку не удаляем
Documets and Setting/Admin/Local Setting/Temporary Internet Files/(все что открылось в этой папке смело стираем)саму папку не удаляем
Documets and Setting/Local Service/Local Setting/Temporary Internet Files/(все что открылось в этой папке смело стираем)саму папку не удаляем
Documets and Setting/Admin/Local Setting/Temp/(все что открылось в этой папке смело стираем)саму папку не удаляем
WINDOWS/system32/pgdebg.exe - этот файл удаляем
Еще вирусом также повреждается файлик ntuser.dat(в нашем случае он также был удален)

Перегружаемся.

Обычно, в таких случаях вирусы блокируют рабочий стол. Т.е. открывается просто чистый рабочий стол, без нижней панели и ярлыков на рабочем столе.
Исправляется это следующим образом.
Нажимаем одновременно Alt+Ctrl+Del. Открываем менеджер процессов, жмем Файл-Новая задача(выполнить) и вводим regedit.
В открывшемся редакторе реестра заходим в ветку

Код: Выделить всё

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

и правим параметр

Код: Выделить всё

Shell

. Он должен быть

Код: Выделить всё

Explorer.exe,

именно с запятой . Сохраняем и перегружаемся.
В принципе все вышеизложенное применимо к любым блокиратором Windows.

[berckoff]

Как удаляю баннеры я. (в во всех случаях помогало)
1. На флешку копирую тотал коммандер+AnVir Task Manager+Autoruns в принципе этого достаточно.
2. загружаю комп в безопасном режиме с поддержкой командной строки.
3. командами дос захожу на флешку и запускаю тотал, либо жму ctrl+alt+del далее файл->новая задача-> запускаем тотал с флешки.
4. Запускаем AnVir Task Manager и смотрим что висит у нас в автозагрузке и отключаем все лишнее, а лучше определить баннер-программу и удалить ее из автозагрузки, предварительно запомнив путь расположения ее на диске (скорее всего это будет Documets and Setting/******/Local Setting/Temporary Internet Files/) и затем удалить с диска.
5. Запускаем Autoruns или regedit смотрим что загружается в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell. Параметр Shell должен быть со значением Explorer.exe, если не так, то меняем на Explorer.exe.
6. Вот в принципе и все, осталось только перезагрузить комп.

Спасибо.

[Diesel]

berckoff
Данный способ работает, если работает безопасный режим. А многие блокираторы при выборе безопасного режима выдают синий экран смерти.
Главное алгоритм очистки один и тот же.
Еще было бы не плохо в свойствах обозревателя выставить параметр-удалять временные файлы интернета после закрытия браузера.