Как убрать баннер? Часть вторая.
И так у нас на экране нечто, что мешает нам работать. Например вот такое
Способ устранения первый
(сложный и с пояснениями)
для работы нам нужно: образ LiveCD закатанный на диск или загрузочную флешку.
Иногда встречаются и рассчитанные на болванку DVD.
Качать файл с расширением ISO.
Но ни как не EXE.
Если Вам попался ЕХЕ-файл - не качайте и уж тем более ни в коем случае не запускайте. ЭТО ТУФТА.
Если Вам попался архив (с расширением ZIP, RAR или 7Z) то быстрее всего внутри спрятан запускаемый файл.
Качайте с торрентов. Во всяком случае там можно почитать отзывы. И лажу там вычисляют быстро.
Загружаемся. Для ХР выбираем пункт первый (извините для висты и семёрки не пробовал, т.к. не попадалось. А специально гробить операционку не хочется) Грузим Computer Management В разделе autoruns\system смотрим что у нас грузится В глаза бросается что то непонятное с названием xxx_video_92713.avi(1).exe Не всегда название нашей гадости может быть таким явным. Названия могут быть какими угодно и содержать слова Setup, Update, Drivers Главное распознать эту вредоносную прогу. В нашем случае она лежит во временных файлах интернета. А такого быть не должно. Прога не может запускаться из корзины, временных каталогов и не может лежать в "C:\Program Files\" (напрмер "C:\Program Files\setup.exe") или просто в корне диска Очень часто их маскируют под програмки самой винды и ложат в "C:\WINDOWS\system32\..." С такими немного сложнее. Здась нужен доступ к инету, что бы посмотреть что за файлец и (если он в составе винды) узнать его параметры (размер, дату, время) Открываем редактор реестра, ищем ветку HKLM\softvare\Microsoft\Windows NT\CurrentVersion\Winlogon Ниже приведён пример параметра Shell взятый с не заражённой машины 1. А что стоит у Вас? 2. Как вы думаете что должно произойти для того что бы ваш компьютер разблокировался? 3. И когда он разблокируется, если вы будете отправлять СМС, вводить коды, изменять время в биосе. На всякий случай я Вам подскажу. 1. У Вас стоит в параметре Shell что угодно только не Explorer.exe. 2. Для того, что бы разблокировать компьютер, надо исправить значение Shell на Explorer.exe и ни на что другое. 3. Если Вы наивно надеетесь на благородные чувства писателя этой вредоносной проги, то ждите когда рак на горе свистнет. Лично я давно не верю в благородство... Хотя и не отрицаю его проявления. Но только не в данном случае. Теперь перегружаемся и наша винда опять в работе. Напоследок ещё несколько советов. Кроме параметра Shell оращайте внимание на параметр Userinit В нём должно содержится значение C:\WINDOWS\system32\userinit.exe. Некоторые проги засовывают туда себя для запуска, в том числе и вредоносные. Кроме того некоторые вири подменяют значение собой и контролируют процесс авторизации. Проверяйте не только автозагрузку системы но и автозагрузку других учёток (в моём примере это Администратор, Administrator ...) В моём случае в автозагрузке учётной записи Администратор была непонятная загрузка процесса KillCopy.exe. Я не знаю что то за процесс и откуда он появился и почему лежит в system32. Разбираться не когда было. Я просто его удалил оттуда. Не забывайте удалять, а лучше переименовывать подозрительные запускаемые файлы (я переименовал "KillCopy.exe" в "KillCopy.exe_". В этом случае он ни когда не запустится) Читать далее...
Способ устранения первый
(сложный и с пояснениями)
для работы нам нужно: образ LiveCD закатанный на диск или загрузочную флешку.
ВНИМАНИЕ !!!
При поиске образа учтите, что он закатывается на болванку CD.Иногда встречаются и рассчитанные на болванку DVD.
Качать файл с расширением ISO.
Но ни как не EXE.
Если Вам попался ЕХЕ-файл - не качайте и уж тем более ни в коем случае не запускайте. ЭТО ТУФТА.
Если Вам попался архив (с расширением ZIP, RAR или 7Z) то быстрее всего внутри спрятан запускаемый файл.
Если, после скачивания архива, вы внутри находите ЕХЕ-файл, не тратьте время на него. Удаляйте этот архив.
Загружаемся. Для ХР выбираем пункт первый (извините для висты и семёрки не пробовал, т.к. не попадалось. А специально гробить операционку не хочется) Грузим Computer Management В разделе autoruns\system смотрим что у нас грузится В глаза бросается что то непонятное с названием xxx_video_92713.avi(1).exe Не всегда название нашей гадости может быть таким явным. Названия могут быть какими угодно и содержать слова Setup, Update, Drivers Главное распознать эту вредоносную прогу. В нашем случае она лежит во временных файлах интернета. А такого быть не должно. Прога не может запускаться из корзины, временных каталогов и не может лежать в "C:\Program Files\" (напрмер "C:\Program Files\setup.exe") или просто в корне диска Очень часто их маскируют под програмки самой винды и ложат в "C:\WINDOWS\system32\..." С такими немного сложнее. Здась нужен доступ к инету, что бы посмотреть что за файлец и (если он в составе винды) узнать его параметры (размер, дату, время) Открываем редактор реестра, ищем ветку HKLM\softvare\Microsoft\Windows NT\CurrentVersion\Winlogon Ниже приведён пример параметра Shell взятый с не заражённой машины 1. А что стоит у Вас? 2. Как вы думаете что должно произойти для того что бы ваш компьютер разблокировался? 3. И когда он разблокируется, если вы будете отправлять СМС, вводить коды, изменять время в биосе. На всякий случай я Вам подскажу. 1. У Вас стоит в параметре Shell что угодно только не Explorer.exe. 2. Для того, что бы разблокировать компьютер, надо исправить значение Shell на Explorer.exe и ни на что другое. 3. Если Вы наивно надеетесь на благородные чувства писателя этой вредоносной проги, то ждите когда рак на горе свистнет. Лично я давно не верю в благородство... Хотя и не отрицаю его проявления. Но только не в данном случае. Теперь перегружаемся и наша винда опять в работе. Напоследок ещё несколько советов. Кроме параметра Shell оращайте внимание на параметр Userinit В нём должно содержится значение C:\WINDOWS\system32\userinit.exe. Некоторые проги засовывают туда себя для запуска, в том числе и вредоносные. Кроме того некоторые вири подменяют значение собой и контролируют процесс авторизации. Проверяйте не только автозагрузку системы но и автозагрузку других учёток (в моём примере это Администратор, Administrator ...) В моём случае в автозагрузке учётной записи Администратор была непонятная загрузка процесса KillCopy.exe. Я не знаю что то за процесс и откуда он появился и почему лежит в system32. Разбираться не когда было. Я просто его удалил оттуда. Не забывайте удалять, а лучше переименовывать подозрительные запускаемые файлы (я переименовал "KillCopy.exe" в "KillCopy.exe_". В этом случае он ни когда не запустится) Читать далее...
