Баннер (Компьютер заблокирован)

@Leningradeс · Регистрация: 03.03.2011

Author24 — интернет-сервис помощи студентам

Здравствуйте форумчане! Беда приключилась с моим ноутбуком, поразил его вирус в виде баннера закрывающего полностью рабочий стол и нижнюю панель (см. скриншот)

-На компьютере Vista PRO, пробовал в безопасном режиме загружать пишет что поврежден ЖД.
-Пробовал восстанавливать с DVD-диска установочного, говорит что не видит установленной Windows и соответственно и точек восстановления.
-Пользовался утилитами по генерированию кодов - не помогло.
-Dr.WEB и Касперского сайты посещал, пользовался их разблокировачными сайтами - нету кодов подходящих.
-Звонил оператору ТЕЛЕ2, кодов сказали не существует, создали заявку (сегодня) для рассмотрения специалистами, сказали позвонят в течении трёх дней.
Может кто еще чем то помочь? Можно и инструкциями по удалению вируса вручную, по установке Windows Vista поверх старого Vista (не пробовал сверху не разу ставить).

magirus · 18.05.2011, 17:33

попробуйте так:
Разблокировка компьютера от троянов семейства WinLock (sms - вымогатели)
(внизу страницы под спойлером)

Разблокирование компьютера при помощи LiveCD

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска
2. Пуск => Выполнить => erdregedit
3. Найдите в реестре и проверьте:

Ветка:

Код

1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр:

Код

1

AppInit_DLLs

Содержимое параметра необходимо опубликовать в теме где вам оказывают помощь

Ветка:

Код

1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

Нажмите на изображение для увеличения Название: 4.jpg Просмотров: 676 Размер: 108.9 Кб ID: 46980

Правильное значения для Userinit это:

Код

1

C:\WINDOWS\system32\userinit.exe,

Нажмите на изображение для увеличения Название: 5.jpg Просмотров: 545 Размер: 92.3 Кб ID: 46981

!!! Внесение неверных данных в реестр не дадут нужно результата, а только навредят. Если не уверены в своих действиях, то лучше проконсультироваться с специалистом.

@Leningradeс · 18.05.2011, 18:17 **[ТС]**

Спасибо magirus! Под спойлером действительно хорошая инфа, но что то не как найти не могу образ LiveCD или DVD для Vista да еще и с EDR commander...
Не знаете где скачать? (только торрент).

magirus · 18.05.2011, 18:19

поиск по "ERD commander 3 in 1" находится на раз. (даже без два и три) отличная вещь.

@Sfera · 18.05.2011, 18:33

Leningradeс, ERD Commander

@Leningradeс · 18.05.2011, 19:03 **[ТС]**

magirus, не спорю что на раз

Но находятся в основном летитбит, народ и другие. А скорость там ну очень медленная для скачивания образа, да и еще если кто не пользуется программами на подобие Download Master, то разрыв соединения через 5-10 часов и всё конец загрузки

Вот сейчас через Download Master качаю, скорость 5-6 кб/сек ориентировочно на 31 час... Буду надеется что докачка поддерживается и что бы инет не обрывался. Да и скорость может ночью выростит до 50 кб/сек хотя бы.

@Leningradeс · 20.05.2011, 00:36 **[ТС]**

Сделал LiveCD с EDR, вот результат:

Ветка:

Код

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр:

Код

AppInit_DLLs

Код

Value name:
AppInit_DLLs
Value data:
(пустая строка)

Ветка:

Код

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр:

Код

Shell

Код

Value name:
Shell
Value data:
(стояло)(путь)/mshta.exe (поменял)Explorer.exe

Параметр:

Код

Userinit

Код

Value name:
Userinit
Value data:
C:\WINDOWS\system32\userinit.exe,

После замены mshta.exe на Explorer.exe, банер пропал, но видимо его надо найти и удалить? Как лучше сделать?

@~~Katharsis~~ · 20.05.2011, 00:38

пробуйте загрузиться с жесткого диска. После этого: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Leningradeс · 20.05.2011, 02:02 **[ТС]**

На ноуте не Vista, а ХР

2. Запустите проверку* всех дисков с помощью антивирусной утилиты CureIT в безопасном режиме (подробнее). Перезагрузитесь в обычный режим.
* имеется ввиду полная проверка всех дисков, после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель, защищённый от записи) и запустить с него утилиту.

Не загружает Windows в безопасном режиме... Хотя обычная загрузка Windows работает, но всё сильно тормозит.

Тут написано якобы ЖД поврежден?
Пробовать в обычном режиме проверять CureIT?

@~~Katharsis~~ · 20.05.2011, 02:12

пропустите cureit, подготовьте логи в нормальном режиме

AVZ:
virusinfo_syscheck.zip
virusinfo_syscure.zip

RSIT:
info.txt
log.txt

@Leningradeс · 20.05.2011, 02:47 **[ТС]**

Если что ноут не мой

virusinfo_cure.zip
virusinfo_syscure.zip
info.rar
log.rar

Кстате из ТЕЛЕ2 перезвонили и сказали что кодов не существует и они советуют переустановить Windows

@Sfera · 20.05.2011, 10:57

Сообщение от Leningradeс

Кстате из ТЕЛЕ2 перезвонили и сказали что кодов не существует и они советуют переустановить Windows

это крайние меры, нам не пригодятся

Добавлено через 58 минут
Проверьте файлы на http://www.virustotal.com
C:\WINDOWS\system32\CmdLineExt03.dll
C:\WINDOWS\system32\mshta.exe

у вас системная дата выставлена правильно?

C:\!!!!!!! происхождение папки известно?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\CmdLineExt03.dll','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Sun\oeend08.dll','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5470689389507203.exe','');
 QuarantineFile('C:\WINDOWS\system32\tmp8E.tmp','');
 QuarantineFile('C:\WINDOWS\system32\mshta.exe','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\bfastfao.sys','');
 QuarantineFile('c:\windows\system32\msxslt3.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Sun\oeend08.dll');
 DeleteFile('c:\docume~1\admin\locals~1\temp\bfastfao.sys');
 DeleteFile('c:\windows\system32\msxslt3.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5470689389507203.exe');
 DeleteFile('C:\WINDOWS\system32\tmp8E.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('bfastfao');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Выполните лог HijackThis

Сделайте повторные логи AVZ (virusinfo_syscure.zip, virusinfo_syscheck.zip)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Меняйте важные пароли

Добавлено через 33 минуты
В догонку, каталог C:\Documents and Settings\Admin\Application Data\Sun\ удалите ручками после выполнения скрипта
и проверьте запуск безопасного режима

@Leningradeс · 20.05.2011, 12:53 **[ТС]**

Проверьте файлы на http://www.virustotal.com
C:\WINDOWS\system32\CmdLineExt03.dll
C:\WINDOWS\system32\mshta.exe

Проверил. Там показаны антивирусы которые могут лечить эти файлы? Или что сделать с той информацией?

у вас системная дата выставлена правильно?

Не правильно.

C:\!!!!!!! происхождение папки известно?

Да это я создал, пытался в ручную переименовывать/перемещать туда вирусы.

Скрипты AVZ сделал успешно, сформировал карантин и отослал его, все нормально.
HijackThis лог выполнил.

Папку Sun удалил.
Сделал логи AVZ и выполняю проверку Malwarebytes' Anti-Malware, попозже прикреплю логи.

@~~Katharsis~~ · 20.05.2011, 12:59

Сообщение от Leningradeс

HijackThis лог выполнил.

и где он?

Сообщение от Leningradeс

Проверил.

где ссылки на результат проверки?

Сообщение от Leningradeс

Или что сделать с той информацией?

C:\WINDOWS\system32\mshta.exe - удалить, другой оставить.

Сообщение от Leningradeс

Да это я создал, пытался в ручную переименовывать/перемещать туда вирусы.

удалите вместе с содержимым.

@Leningradeс · 20.05.2011, 13:20 **[ТС]**

C:\WINDOWS\system32\CmdLineExt03.dll
http://www.virustotal.com/file... 305872796#
C:\WINDOWS\system32\mshta.exe
http://www.virustotal.com/file... 1305873775

попозже прикреплю логи.

Когда Malwarebytes' Anti-Malware закончит полную проверку, все логи прикреплю разом.

@~~Katharsis~~ · 20.05.2011, 13:32

Сообщение от Leningradeс

1
Shell
Value data:
(стояло)(путь)/mshta.exe (поменял)Explorer.exe

C:\WINDOWS\system32\mshta.exe

это и есть ваш банер
распакуйте приложенный файл в C:\WINDOWS\system32

Добавлено через 47 секунд

Сообщение от Leningradeс

C:\WINDOWS\system32\CmdLineExt03.dll

по проверке этого результата не видно

@Leningradeс · 20.05.2011, 13:33 **[ТС]**

C:\WINDOWS\system32\mshta.exe - удалить, другой оставить.

Создаётся снова.

удалите вместе с содержимым.

Удалил.

это и есть ваш банер

Как бы да

@~~Katharsis~~ · 20.05.2011, 13:42

Сообщение от Katharsis

распакуйте приложенный файл в C:\WINDOWS\system32

замените на чистый

@Leningradeс · 20.05.2011, 13:50 **[ТС]**

замените на чистый

Заменил.

Проверка долгая Malwarebytes' Anti-Malware уже 2 часа 20 минут прошло...

@Sfera · 20.05.2011, 14:20

Leningradeс, Дождитесь окончания
ну вот и выцепили ваш банер

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
		1
	Баннер (Компьютер заблокирован) 18.05.2011, 17:31. Показов 19889. Ответов 32 Метки trojan.inject.17070, trojan.winlock.2953 (Все метки) Здравствуйте форумчане! Беда приключилась с моим ноутбуком, поразил его вирус в виде баннера закрывающего полностью рабочий стол и нижнюю панель (см. скриншот) -На компьютере Vista PRO, пробовал в безопасном режиме загружать пишет что поврежден ЖД. -Пробовал восстанавливать с DVD-диска установочного, говорит что не видит установленной Windows и соответственно и точек восстановления. -Пользовался утилитами по генерированию кодов - не помогло. -Dr.WEB и Касперского сайты посещал, пользовался их разблокировачными сайтами - нету кодов подходящих. -Звонил оператору ТЕЛЕ2, кодов сказали не существует, создали заявку (сегодня) для рассмотрения специалистами, сказали позвонят в течении трёх дней. Может кто еще чем то помочь? Можно и инструкциями по удалению вируса вручную, по установке Windows Vista поверх старого Vista (не пробовал сверху не разу ставить). 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	18.05.2011, 17:33	2
	попробуйте так: Разблокировка компьютера от троянов семейства WinLock (sms - вымогатели) (внизу страницы под спойлером) Разблокирование компьютера при помощи LiveCD Вам нужен любой LiveCD с возможностью правки реестра 1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска 2. Пуск => Выполнить => erdregedit 3. Найдите в реестре и проверьте: Ветка: Код 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Параметр: Код 1 AppInit_DLLs Содержимое параметра необходимо опубликовать в теме где вам оказывают помощь Ветка: Код 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное. Нажмите на изображение для увеличения Название: 4.jpg Просмотров: 676 Размер: 108.9 Кб ID: 46980 Правильное значения для Userinit это: Код 1 C:\WINDOWS\system32\userinit.exe, Нажмите на изображение для увеличения Название: 5.jpg Просмотров: 545 Размер: 92.3 Кб ID: 46981 !!! Внесение неверных данных в реестр не дадут нужно результата, а только навредят. Если не уверены в своих действиях, то лучше проконсультироваться с специалистом. 1

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	18.05.2011, 18:17 [ТС]	3
	Спасибо magirus! Под спойлером действительно хорошая инфа, но что то не как найти не могу образ LiveCD или DVD для Vista да еще и с EDR commander... Не знаете где скачать? (только торрент). 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	18.05.2011, 18:19	4
	поиск по "ERD commander 3 in 1" находится на раз. (даже без два и три) отличная вещь. 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	18.05.2011, 18:33	5
	Leningradeс, ERD Commander 2

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	18.05.2011, 19:03 [ТС]	6
	magirus, не спорю что на раз Но находятся в основном летитбит, народ и другие. А скорость там ну очень медленная для скачивания образа, да и еще если кто не пользуется программами на подобие Download Master, то разрыв соединения через 5-10 часов и всё конец загрузки Вот сейчас через Download Master качаю, скорость 5-6 кб/сек ориентировочно на 31 час... Буду надеется что докачка поддерживается и что бы инет не обрывался. Да и скорость может ночью выростит до 50 кб/сек хотя бы. 0

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	20.05.2011, 00:36 [ТС]	7
	Сделал LiveCD с EDR, вот результат: Ветка: Код HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Параметр: Код AppInit_DLLs Код Value name: AppInit_DLLs Value data: (пустая строка) Ветка: Код HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Параметр: Код Shell Код Value name: Shell Value data: (стояло)(путь)/mshta.exe (поменял)Explorer.exe Параметр: Код Userinit Код Value name: Userinit Value data: C:\WINDOWS\system32\userinit.exe, После замены mshta.exe на Explorer.exe, банер пропал, но видимо его надо найти и удалить? Как лучше сделать? 0

@~~Katharsis~~ Заблокирован
	20.05.2011, 00:38	8
	пробуйте загрузиться с жесткого диска. После этого: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	20.05.2011, 02:02 [ТС]	9
	На ноуте не Vista, а ХР 2. Запустите проверку* всех дисков с помощью антивирусной утилиты CureIT в безопасном режиме (подробнее). Перезагрузитесь в обычный режим. * имеется ввиду полная проверка всех дисков, после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель, защищённый от записи) и запустить с него утилиту. Не загружает Windows в безопасном режиме... Хотя обычная загрузка Windows работает, но всё сильно тормозит. Тут написано якобы ЖД поврежден? Пробовать в обычном режиме проверять CureIT? 0

@~~Katharsis~~ Заблокирован
	20.05.2011, 02:12	10
	пропустите cureit, подготовьте логи в нормальном режиме AVZ: virusinfo_syscheck.zip virusinfo_syscure.zip RSIT: info.txt log.txt 1

	20.05.2011, 14:20

Опции темы

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	20.05.2011, 02:47 [ТС]	11
	Если что ноут не мой virusinfo_cure.zip virusinfo_syscure.zip info.rar log.rar Кстате из ТЕЛЕ2 перезвонили и сказали что кодов не существует и они советуют переустановить Windows 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	20.05.2011, 10:57	12
	Сообщение от Leningradeс Кстате из ТЕЛЕ2 перезвонили и сказали что кодов не существует и они советуют переустановить Windows это крайние меры, нам не пригодятся Добавлено через 58 минут Проверьте файлы на http://www.virustotal.com C:\WINDOWS\system32\CmdLineExt03.dll C:\WINDOWS\system32\mshta.exe у вас системная дата выставлена правильно? C:\!!!!!!! происхождение папки известно? Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\CmdLineExt03.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Sun\oeend08.dll',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5470689389507203.exe',''); QuarantineFile('C:\WINDOWS\system32\tmp8E.tmp',''); QuarantineFile('C:\WINDOWS\system32\mshta.exe',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\bfastfao.sys',''); QuarantineFile('c:\windows\system32\msxslt3.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\Sun\oeend08.dll'); DeleteFile('c:\docume~1\admin\locals~1\temp\bfastfao.sys'); DeleteFile('c:\windows\system32\msxslt3.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5470689389507203.exe'); DeleteFile('C:\WINDOWS\system32\tmp8E.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); DeleteService('bfastfao'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему Выполните лог HijackThis Сделайте повторные логи AVZ (virusinfo_syscure.zip, virusinfo_syscheck.zip) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM Меняйте важные пароли Добавлено через 33 минуты В догонку, каталог C:\Documents and Settings\Admin\Application Data\Sun\ удалите ручками после выполнения скрипта и проверьте запуск безопасного режима 1

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	20.05.2011, 12:53 [ТС]	13
	Проверьте файлы на http://www.virustotal.com C:\WINDOWS\system32\CmdLineExt03.dll C:\WINDOWS\system32\mshta.exe Проверил. Там показаны антивирусы которые могут лечить эти файлы? Или что сделать с той информацией? у вас системная дата выставлена правильно? Не правильно. C:\!!!!!!! происхождение папки известно? Да это я создал, пытался в ручную переименовывать/перемещать туда вирусы. Скрипты AVZ сделал успешно, сформировал карантин и отослал его, все нормально. HijackThis лог выполнил. Папку Sun удалил. Сделал логи AVZ и выполняю проверку Malwarebytes' Anti-Malware, попозже прикреплю логи. 0

@~~Katharsis~~ Заблокирован
	20.05.2011, 12:59	14
	Сообщение от Leningradeс HijackThis лог выполнил. и где он? Сообщение от Leningradeс Проверил. где ссылки на результат проверки? Сообщение от Leningradeс Или что сделать с той информацией? C:\WINDOWS\system32\mshta.exe - удалить, другой оставить. Сообщение от Leningradeс Да это я создал, пытался в ручную переименовывать/перемещать туда вирусы. удалите вместе с содержимым. 1

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	20.05.2011, 13:20 [ТС]	15
	C:\WINDOWS\system32\CmdLineExt03.dll http://www.virustotal.com/file... 305872796# C:\WINDOWS\system32\mshta.exe http://www.virustotal.com/file... 1305873775 попозже прикреплю логи. Когда Malwarebytes' Anti-Malware закончит полную проверку, все логи прикреплю разом. 0

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	20.05.2011, 13:33 [ТС]	17
	C:\WINDOWS\system32\mshta.exe - удалить, другой оставить. Создаётся снова. удалите вместе с содержимым. Удалил. это и есть ваш банер Как бы да 0

@~~Katharsis~~ Заблокирован
	20.05.2011, 13:42	18
	Сообщение от Katharsis распакуйте приложенный файл в C:\WINDOWS\system32 замените на чистый 1

@Leningradeс 14 / 14 / 3 Регистрация: 03.03.2011 Сообщений: 435
	20.05.2011, 13:50 [ТС]	19
	замените на чистый Заменил. Проверка долгая Malwarebytes' Anti-Malware уже 2 часа 20 минут прошло... 0