Добрый день всем:)

Просьба знающим людям помочь советом.

Итак, вчера один несознательный товарищ начал скачивать ролик сомнительного содержания и заработал зависший рабочий стол с предложением (Внимание!) перечислить на номер 964 708 98 05 через терминал 350 рублей. А код разблокировки должен, типа, быть в чеке терминала.
Что делал:
- Позвонил в службу поддержки Билайна и был послан
- На нажатия клавиш и мыши нет никакой реакции. Так что доступа к диспетчеру задачи и прочим утилитам из-под системы нет.
- При попытке откатить систему или войти в безопасный режим - BSOD.
- При заходе с загрузочного диска с утилитами выяснилось, что системный диск из Волкова и прочих менеджеров не виден, утилиты его не видят, за исключением старого антивиря Маккофе, или как там его, который честно просканировал винт, но ничего не нашёл, ибо загрузочник создан три года назад.

Снял винт, притащил домой. Не найду причину, так хоть данные вытащу.

Вопрос извечный: Что делать? Можно ли спасти систему или проще переустановить?

Добрый день!Попробуйте оба:

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:

Ветка

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр

AppInit_DLLs

Содержимое параметра в сообщении напишите...!

Ветка

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit это:

C:\WINDOWS\system32\userinit.exe,


По возможности как получится, выложите логи!

Ага, понятно. Вот только скачивать образ в 400 метров что-то неохота с моим тарифным планом :( А есть ли возможность посмотреть на нём реестр, если я подключу этот винт к своему компьютеру вторым? Мне это проще, чем опять тащить его к хозяину.

Вот только скачивать образ в 400 метров что-то неохота с моим тарифным планом »Можно здесь (http://forum.oszone.net/post-1398613-541.html) скачать 100 МБ. А здесь (http://forum.oszone.net/post-1216145-34.html) размер 44 МБ.

А есть ли возможность посмотреть на нём реестр, если я подключу этот винт к своему компьютеру вторым? »Конечно, но тогда придётся подключать реестр. рекомендация (http://forum.oszone.net/post-1420569-2.html) - в вашем случае со второго пункта.

Спасибочки, буду копаться.
О результатах будет доложено:)

Snollyghoster, посмотрите ещё мои приключения: http://forum.oszone.net/post-1440817.html#post1440817, кроме RegeditPE ничего качать не пришлось.

Morpheus, спасибо, гляну обязательно.

Значит так, загрузочный диск оказался F:) Диска С на том компьютере в природе не существует:)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

F:\Documents and Settings\мм\Мои документы\Загрузки\xxx_video_704.avi.exe

Userinit

F:\WINDOWS\system32\userinit.exe,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs - пусто. Какое значение нужно поставить?

А то экран этой гадости, только без текста. Кстати, в загрузках оказалось аж вредоносных 4 exe-шника.

http://s12.radikal.ru/i185/1006/e9/b05be8d202ff.jpg

Snollyghoster, таж гадость, с которой я боролся.
RegeditPE качнули? Путь (http://radikal.ru/F/s47.radikal.ru/i116/1006/a9/db1ef1a092a8.jpg.html) меняется при просмотре через него.

Morpheus, Не, не качал, подцепил вторым и зашёл через Regedit способом, который рекомендовал Drongo. Завтра пойду, посмотрю, как оно грузится. Ещё кучу гадости из временных файлов поудалял. Часть пришлось Unlocker'ом выкорчёвывать.

Snollyghoster, оно в ключе Shell сидело в моём случае.
Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное. »

Смотреть..:

http://prikachi.com/images/975/2273975D.jpg

Morpheus,

Ну, я Shell и поменял. Проверю на родной машине загрузку. Заодно скажу мамаше, чтоб пацану по рукам надавала:) С армии только пришёл, лучше бы пусть по девкам бегал, чем по порносайтам лазил:)

icotonev,

В Userinit всё нормально было.

А что здесь должно быть? AppInit_DLLs

На моей системе там dll-ка от агнитума прописана, а на той - вообще ничего.

AppInit_DLLs ====>>> Содержимое параметра в сообщении напишите...!

icotonev, не нужно уже значение этого параметра :)

thyrex, Да, вирус был в ключа Shell....!Правильно я говорю?:)

Snollyghoster, По возможности , выложите логи по правилам (http://forum.oszone.net/thread-98169.html)

вирус был в ключа Shell....!Правильно я говорю? »Да, конечно

Snollyghoster, По возможности , выложите логи по правилам »

Ой, это ужас, а не правила:) А что эти логи дадут-то уже? Всё стёр.

Спасибо, мужики! С вашей помощью на пиво я заработал:)