Как избавиться от навязчивого баннера, требующего отправить SMS

zaruta 06.09.2010 22:45:

kub1 06.09.2010 22:41:

zaruta 06.09.2010 22:33:

я сегодня предлагал всем баннер, могу дать, time сегодня через файлообменник от меня получил, вроде нармально.

Давайте, Скачаю, поэкспериментирую, время позволит сделаем отчет в картинках.

скинул ссылку в личку

zaruta 06.09.2010 22:42:

SERP802 06.09.2010 22:06:

НО дальше произошло непредвиденное... интересно-напишу (пришлось повозиться, но методы я использовал которые обучился на этом форуме)...

Что уж такое страшное произошло?

сканирование Malwarebytes' Anti-Malware, разблокировка после баннера программой fixaftervirus...

кто-то из них (этих программ) срубил активацию винды и русский язык, как потом оказалось в реестре были удалены строки отвечающее за русский...

активация тоже заставила повозиться...

однако скажу коротко, нужно было запустить один файл и вот пригодились знания с форума - Win-U переход на сайт Мягкотелого, в окне браузера C:\, указания пути к проге, запуск проги,перезагрузка...

а руссикация - это несколко строк реестра, нашел в НЭТе, скопировал в блокнот, сохранил с расширением .reg запустил, сохранил изменения, перегрузил, все работает...

третий LiveCD (что тоже не плохо), но тут можно просто загрузиться с LiveCD-убить файл баннера-перезагрузка с HDD-Regedit-забить в поиск userinit-исправить значение на C:\WINDOWS\system32\userinit.exe-аналогично с Shell-исправить на Explorer.exe ВСЁ!

у меня неполучилось, т.к. винда незапустилась (висела картинка пустого рабочего стола без каких либо кнопок) ,и дать команду regedit - немог (это в моем случае)

kub1 06.09.2010 22:51:

скинул ссылку в личку

Спасибо! Песенку скачал!

zaruta 06.09.2010 23:05:

kub1 06.09.2010 22:51:

скинул ссылку в личку

Спасибо! Песенку скачал!

удаляю с файлообменника

Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?

F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?

код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)

SERP802 06.09.2010 22:57:

zaruta 06.09.2010 22:42:

SERP802 06.09.2010 22:06:

НО дальше произошло непредвиденное... интересно-напишу (пришлось повозиться, но методы я использовал которые обучился на этом форуме)...

Что уж такое страшное произошло?

сканирование Malwarebytes' Anti-Malware, разблокировка после баннера программой fixaftervirus...

кто-то из них (этих программ) срубил активацию винды и русский язык, как потом оказалось в реестре были удалены строки отвечающее за русский...

активация тоже заставила повозиться...

однако скажу коротко, нужно было запустить один файл и вот пригодились знания с форума - Win-U переход на сайт Мягкотелого, в окне браузера C:\, указания пути к проге, запуск проги,перезагрузка...

а руссикация - это несколко строк реестра, нашел в НЭТе, скопировал в блокнот, сохранил с расширением .reg запустил, сохранил изменения, перегрузил, все работает...

• Это скорее всего Malwarebytes' Anti-Malware постарался!
• А зачем было эти проги запускать? Тут всего то исправить в реестре пару строк и всё
• За активацию Винды если не ошибаюсь отвечает файл wpa.dbl прописан C:\WINDOWS\system32 (советую его скопировать на всякий пожарный и держать отдельно)
• Но поработали Вы хорошо-Уважаю, хотя без LiveCD всё равно не обошлись.

kub1 06.09.2010 23:09:

zaruta 06.09.2010 23:05:

kub1 06.09.2010 22:51:

скинул ссылку в личку

Спасибо! Песенку скачал!

удаляю с файлообменника

Конечно удаляй, там правила запрещающие размещение вирусов, порно, фашизма и т.д могут вычислить если кто пожалуется, тем более этот файлообменник с регистрацией.

zaruta 06.09.2010 23:19:
хотя без LiveCD всё равно не обошлись.

... если-бы была-бы возможность без LiveCD обойтись...

а кстати - лицензионная винда идет с установочным диском, а нелиц... у многих тоже есть, надо попробывать поработать через ручное восстановление с установочного диска в дос режиме, не помню можно-ли давать команды изменения строк реестра, ...

SERP802 06.09.2010 23:05:
третий LiveCD (что тоже не плохо), но тут можно просто загрузиться с LiveCD-убить файл баннера-перезагрузка с HDD-Regedit-забить в поиск userinit-исправить значение на C:\WINDOWS\system32\userinit.exe-аналогично с Shell-исправить на Explorer.exe ВСЁ!

у меня неполучилось, т.к. винда незапустилась (висела картинка пустого рабочего стола без каких либо кнопок) ,и дать команду regedit - немог (это в моем случае)

• А на случай пустого рабочего стола, так же описано в "Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров"
• Читайте...грузимся в безопасном режиме с поддержкой командной строки .........и вперед

zaruta 06.09.2010 23:32:

SERP802 06.09.2010 23:05:
третий LiveCD (что тоже не плохо), но тут можно просто загрузиться с LiveCD-убить файл баннера-перезагрузка с HDD-Regedit-забить в поиск userinit-исправить значение на C:\WINDOWS\system32\userinit.exe-аналогично с Shell-исправить на Explorer.exe ВСЁ!

у меня неполучилось, т.к. винда незапустилась (висела картинка пустого рабочего стола без каких либо кнопок) ,и дать команду regedit - немог (это в моем случае)

• А на случай пустого рабочего стола, так же описано в "Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров"
• Читайте...грузимся в безопасном режиме с поддержкой командной строки .........и вперед

Пробывал... не работает, перегружается, да еще и выдает синий экран смерти...

SERP802 06.09.2010 23:40:

Пробывал... не работает, перегружается, да еще и выдает синий экран смерти...

Ну тогда ERD Commander, хотя дня через 2-3 на Каспере будет код разблокировки, просто пару вечеров попить с друзьями пива.

zaruta 06.09.2010 23:44:

SERP802 06.09.2010 23:40:

Пробывал... не работает, перегружается, да еще и выдает синий экран смерти...

Ну тогда ERD Commander

Выхода видимо нет... но искать незапрещено...

kub1 06.09.2010 23:17:

F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?

код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)

прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?

F4RR3LL881 06.09.2010 23:57:

kub1 06.09.2010 23:17:

F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?

код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)

прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?

в реестре ХР В поиске вбиваем avi.exe покажет куда эта зараза скачалась Далее вручную подправил [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...

а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...

SERP802 07.09.2010 00:10:

F4RR3LL881 06.09.2010 23:57:

kub1 06.09.2010 23:17:

F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?

код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)

прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?

в реестре ХР В поиске вбиваем avi.exe покажет куда эта зараза скачалась Далее вручную подправил [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...

а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...

все номано!!!! баннер умер после удаления, теперече чистый раб.стол.без иконок, что дальше?!

kub1 06.09.2010 18:42:
time ну как баннер?

Пока еще не пробовал, завтра много свободного времени вот и попробую. Я думаю что этот баннер не чем не отличается от тех баннеров, с номером билайна, над которыми я недавно экспереминтировал.

Какими способами я их удалял подробно описано на страницах этого форума

Страница 387 c Live cd

Пост номер #18553331. 8.2010 08:23 * От: time

Страница 391 ERD COMMANDER

И посты #186452 6.09.2010 06:23 и

1. 186456 6.09.2010 06:53 *

F4RR3LL881 07.09.2010 01:14:

SERP802 07.09.2010 00:10:

F4RR3LL881 06.09.2010 23:57:

kub1 06.09.2010 23:17:

F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?

код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)

прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?

в реестре ХР В поиске вбиваем avi.exe покажет куда эта зараза скачалась Далее вручную подправил [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...

а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...

все номано!!!! баннер умер после удаления, теперече чистый раб.стол.без иконок, что дальше?!

в реестре ХР в поиске вбиваем avi.exe покажет куда эта зараза записалась. Далее вручную подправим [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...

а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...

нужно найти редактор реестра, работающий под 7, с возможностью загрузки реестра от ХР и поправить реестр ХР...

Спасибо мне подошел код ~2058205~

-

zaruta Здорова. Скинь мне в личку адрес своей почты и я тебе отправлю несколько штук баннеров.

Стэц 06.09.2010 15:53:
Черный банер на весь рабочий стол просит отправить 400р на номер билайн 89654028162 помогите пожалуйста

подходит этот код: %10923810%

помогите номер 89654028772 просит 300 руб

никник 07.09.2010 12:05:
помогите номер 89654028772 просит 300 руб

Проверь по этим ссылкам коды

http://www.drweb.com/unl...

и здесь

http://support.kaspersky.ru/...

В первую очередь проверяй пароли которые сверху.

time 07.09.2010 12:36:

никник 07.09.2010 12:05:
помогите номер 89654028772 просит 300 руб

Проверь по этим ссылкам коды

http://www.drweb.com/unl...

и здесь

http://support.kaspersky.ru/...

В первую очередь проверяй пароли которые сверху.

не помогает. помогите!!!!!!!

никник 07.09.2010 15:57:

time 07.09.2010 12:36:

никник 07.09.2010 12:05:
помогите номер 89654028772 просит 300 руб

Проверь по этим ссылкам коды

http://www.drweb.com/unl...

и здесь

http://support.kaspersky.ru/...

В первую очередь проверяй пароли которые сверху.

не помогает. помогите!!!!!!!

$009264834$ или -405938475- или $334327890$

Всем привет!!! Пить я бросил и теперь весь в работе. Если у вас висит баннер пишите в асю 4679817121 Помогу быстро

Привет всем! помогите номер 89654028823 просит 400 руб.

vladsh74 07.09.2010 19:36:
Привет всем! помогите номер 89654028823 просит 400 руб.

Прочтите пожалуйста 2 последние страницы форума.... там все... и коды и ссылки и методы...

и после этого, если еще и нужна будет помощь... пишите...

Спасибо! Подошёл код для активации $20683054%. Спасибо огромное!!!

vladsh74 07.09.2010 20:45:
Спасибо! Подошёл код для активации $20683054%. Спасибо огромное!!!

Надо удалить тело вируса...

качай

ftp://ftp.drweb.com/...exe...

просканься по полной...

а спасибо +1 возле ника, тому кто тебе помог...

удачи...

polnayazhopa 07.09.2010 16:32:
Всем привет!!! Пить я бросил и теперь весь в работе. Если у вас висит баннер пишите в асю 4679817121 Помогу быстро

А я начну-перехвачу эстафету...

реплику снял...

Привет, раньше с банерами справлялся на ура, но такой заразы еще не встречал, щас опишу: Банер вылез на весь экран с надписью "Вы вошли на запрещенный в сети сайт, для удаления данного сообщения положите в терминале 400 рублей на номер (щас не помню уже начинается на +7965*, потом на работе гляну допишу) на чеке будет указан код, в противном случае ваша системма будет полностью заблокирована", что и произошло через час. Бзопасный режим заблокирован, диспетчер заблокирован. Если кто сталкивался с этой заразой подскажите что делать. Собираюсь сносить системму и устанавливать по новой. Другого выхода не вижу.

efrem1974 08.09.2010 04:14:
Привет, раньше с банерами справлялся на ура, но такой заразы еще не встречал, щас опишу: Банер вылез на весь экран с надписью "Вы вошли на запрещенный в сети сайт, для удаления данного сообщения положите в терминале 400 рублей на номер (щас не помню уже начинается на +7965*, потом на работе гляну допишу) на чеке будет указан код, в противном случае ваша системма будет полностью заблокирована", что и произошло через час. Бзопасный режим заблокирован, диспетчер заблокирован. Если кто сталкивался с этой заразой подскажите что делать. Собираюсь сносить системму и устанавливать по новой. Другого выхода не вижу.

Не надо сносить систему есть другой выход.

Проверьте по этим ссылкам коды

http://www.drweb.com/unl...

и здесь

http://support.kaspersky.ru/...

В первую очередь проверяйте пароли которые сверху.

Если не подойдут то делайте метод через ERD COMMANDER 2009

Смотрите страницу форума 391

Пост номер #186452 6.09.2010 06:23 *

и пост номер #186456 6.09.2010 06:53 *

Там очень подробно описано как вы можете удалить этот баннер с

помощью этой программы.

kub1 06.09.2010 18:42:
time ну как баннер?

Пробовал я тот файл который ты мне прислал,все как обычно, как я и предпологал

Вскрыл файл и увидел текст

Ваша операционная система заблокирована………………………………….

Данная блокировка предпринята для устранения возможностираспространения данных материалов с вашего ПК в сети Интернет.

Для того чтобы убрать данный вид блокировки вам нужно прислать……………………..

На номер 89654028576 и.т.д

Что я сделал для начала проверил комбинацию клавиш WIN-U,реакции не было никакой. Нажал просто клавишу с логотипом WINDOWS, меню пуск вылетало на несколько долей секунд но толку с этого тоже не было.

Так для интереса перевел дату в BIOS но баннер все равно так и висел.

Как же я его убрал.

1)Для начала зашел с LIVE CD RusLive Ram

Когда он загрузился сразу Пуск-Выполнить-Regedit окрыл редактор реестра

Поставил курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.

Загружаем куст реестра Выбираем файл software, который лежит в папке Windows на нерабочем компьютере, а именно по пути: C:\Windows\system32\config\software Вводим любое название Вводим любое имя загружаемого куста (Я ввел название War) И в редакторе реестра появилась еще одна ветка War\Microsoft\Windows NT\CurrentVersion\Winlogon прошел по ней и увидел что в параметре Shell был прописан путь к тому файлу(вирусу) что я открыл, в моем случае это было Shell-D:\Документы\9\vip_porno_71451.avi.exe я сразу же пошел по этому пути и удалил этот файл. Далее пеменял значение строкового параметра D:\Документы\9\vip_porno_71451.avi.exe на explorer.exe и нажал OK и посмотрел значение строкового параметра userinit там все было как обычно то есть C:\WINDOWS\system32\userinit.exe, Далее поставил курсор на ветке War – файл выгрузить куст. Далее загрузился в обычном режиме и увидел что баннера нет, и все работает нормально. Потом просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.

2) Зашел через ERD COMMANDER 2009 и открыл Start –> Administrative Tools –> Registry Editor. Там еще проше, просто в ветке

[hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon

В Shell стоял тот же путь D:\Документы\9\vip_porno_71451.avi.exe и поменял на explorer.exe и OK , ну и разумеется удалил файл vip_porno_71451.avi.exe Далее Start –> Log Off –> Restart –> OK, загрузил копм в обычном режиме и сделал все тоже самое, просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.

И еще пришлось восстановить Диспетчер задач

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0. вот и все.

Привет всем! помогите номер 89654027396 просит 400 руб. С сайта дрвеба пробывал - не подошло

Саша_I 08.09.2010 10:41:
Привет всем! помогите номер 89654027396 просит 400 руб. С сайта дрвеба пробывал - не подошло

Попробуйте коды

$334327890$

=403967434=

$20683054%

%10923810%

мушкет

~2058205~

(30958374)

$73747589$

^77723094^

!48950345!

?10298012?

1297901041293

412647373589

27576954785111917

Если не подойдут то делайте метод через ERD COMMANDER 2009

Смотрите страницу форума 391

Пост номер #186452 6.09.2010 06:23 *

и пост номер #186456 6.09.2010 06:53 *

Там очень подробно описано как вы можете удалить этот баннер с

помощью этой программы.

парни качнул програму фотошоп а при установке требует отправки смс 6829709 на номер 3353 все коды попробовал на форуме не подходят, подскажите что делать зараннее большое спасибо.

time 08.09.2010 10:51:

Саша_I 08.09.2010 10:41:
Привет всем! помогите номер 89654027396 просит 400 руб. С сайта дрвеба пробывал - не подошло

Попробуйте коды

$334327890$



=403967434=



$20683054%



%10923810%



мушкет



~2058205~



(30958374)



$73747589$



^77723094^



!48950345!



?10298012?



1297901041293



412647373589



27576954785111917

Если не подойдут то делайте метод через ERD COMMANDER 2009

Смотрите страницу форума 391

Пост номер #186452 6.09.2010 06:23 *

и пост номер #186456 6.09.2010 06:53 *

Там очень подробно описано как вы можете удалить этот баннер с

помощью этой программы.

К сожалению не подошли. Просто слабый инет так качать долго буду. Может еще есть варианты?

бронка 08.09.2010 10:57:
парни качнул програму фотошоп а при установке требует отправки смс 6829709 на номер 3353 все коды попробовал на форуме не подходят, подскажите что делать зараннее большое спасибо.

Здесь помогают разблокировать баннер на рабочем столе или в контакте и.т.д ,а не распаковывать платные архивы, так что вы не туда обратились.

Саша_I

Попробуйте еще эти пароли

$009264834$

-405938475-

$334327890$

Если не подойдут то только ждите новых паролей, а они когда появятся точно я вам не могу сказать.

Так что лучше постарайтесь делать метод через ERD COMMANDER

2009

Смотрите страницу форума 391

Пост номер #186452 6.09.2010 06:23 *

и пост номер #186456 6.09.2010 06:53 *

Там очень подробно описано как вы можете удалить этот баннер с

помощью этой программы.

Подошли следующие (номер 89654027396 просит 400 руб. ): Код (10495726) или =403967434= или $20683054%

Привет подхватил какой-то чудо баннер говорит что он антивирус для активации просит отправить смс с текстом 5711000004232 на номер 6681 у кого есть какие варианты помогите

sanykursk 08.09.2010 11:52:
Привет подхватил какой-то чудо баннер говорит что он антивирус для активации просит отправить смс с текстом 5711000004232 на номер 6681 у кого есть какие варианты помогите

8-800-555-01-02 или 8-800-100-73-37 (Звонок из России бесплатный); Позвони по этим номерам и там тебе скажут код, потом напиши какой сказали.

time 08.09.2010 11:59:

sanykursk 08.09.2010 11:52:
Привет подхватил какой-то чудо баннер говорит что он антивирус для активации просит отправить смс с текстом 5711000004232 на номер 6681 у кого есть какие варианты помогите

8-800-555-01-02 или 8-800-100-73-37 (Звонок из России бесплатный); Позвони по этим номерам и там тебе скажут код, потом напиши какой сказали.

Или скачай и посмотри инструкцию по этой ссылке

http://www.fayloobmennik.net/...

звонил там не алё вообще

kub1 06.09.2010 18:42:
time ну как баннер?

Пробовал я тот файл который ты мне прислал,все как обычно, как я и предпологал

Вскрыл файл и увидел текст

Ваша операционная система заблокирована………………………………….

Данная блокировка предпринята для устранения возможностираспространения данных материалов с вашего ПК в сети Интернет.

Для того чтобы убрать данный вид блокировки вам нужно прислать……………………..

На номер 89654028576 и.т.д

Что я сделал для начала проверил комбинацию клавиш WIN-U,реакции не было никакой. Нажал просто клавишу с логотипом WINDOWS, меню пуск вылетало на несколько долей секунд но толку с этого тоже не было.

Так для интереса перевел дату в BIOS но баннер все равно так и висел.

Как же я его убрал.

1)Для начала зашел с LIVE CD RusLive Ram

Когда он загрузился сразу Пуск-Выполнить-Regedit окрыл редактор реестра

Поставил курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.

Загружаем куст реестра Выбираем файл software, который лежит в папке Windows на нерабочем компьютере, а именно по пути: C:\Windows\system32\config\software Вводим любое название Вводим любое имя загружаемого куста (Я ввел название War) И в редакторе реестра появилась еще одна ветка War\Microsoft\Windows NT\CurrentVersion\Winlogon прошел по ней и увидел что в параметре Shell был прописан путь к тому файлу(вирусу) что я открыл, в моем случае это было Shell-D:\Документы\9\vip_porno_71451.avi.exe я сразу же пошел по этому пути и удалил этот файл. Далее пеменял значение строкового параметра D:\Документы\9\vip_porno_71451.avi.exe на explorer.exe и нажал OK и посмотрел значение строкового параметра userinit там все было как обычно то есть C:\WINDOWS\system32\userinit.exe, Далее поставил курсор на ветке War – файл выгрузить куст. Далее загрузился в обычном режиме и увидел что баннера нет, и все работает нормально. Потом просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.

2) Зашел через ERD COMMANDER 2009 и открыл Start –> Administrative Tools –> Registry Editor. Там еще проше, просто в ветке

[hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon

В Shell стоял тот же путь D:\Документы\9\vip_porno_71451.avi.exe и поменял на explorer.exe и OK , ну и разумеется удалил файл vip_porno_71451.avi.exe Далее Start –> Log Off –> Restart –> OK, загрузил копм в обычном режиме и сделал все тоже самое, просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.

И еще пришлось восстановить Диспетчер задач

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0. вот и все.

sanykursk 08.09.2010 12:27:
звонил там не алё вообще

скачай и посмотри инструкцию по этой ссылке

http://www.fayloobmennik.net/...

Там подробно описано как удалить этот вирус.