Доброго времени суток. Возникла следующая проблема:
Отец на стареньком ноуте с WinXP х32 подхватил какой-то вирус из инета. вирус установил кучу прог на китайском языке (вместо иероглифов отображались квадраты). среди этих прог был какой-то закос под китайскую аську QQ, антивирус kingsoft, UCBrowser, вроде даже продукты от mail.ru (по крайней мере за это они себя выдавали) и еще что-то.
как пробовал лечить:
1) по дате изменения вычислил в program files соответствующие папки програм, попробовал их удалить - файлы заблокированы. unlocker не помог.
2) загрузился в безопасном режиме под админом и руками удалил эти папки.
3) после чего в обычном режиме винда не грузилась (после окна с надписью "запуск windows" был просто черный экран. причем черный "вообще" - даже подсветка экрана не горела)
4) в безопасном режиме (в него загрузилось нормально) руками почистил ключи в реестре, которые нашлись по поиску "kingsoft"
5) загрузился в обычном режиме - загрузка прошла успешно, только между экранами "запуск windows" и "приветствие" высветилось какое-то окно с квадратами (иероглифами), если его закрыть - дальше грузится нормально. (при загрузке в безопасном режиме все разы появлялось такое же окно)
так же в логах системы (ПКМ мой компьютер -> управление -> служебные программы -> просмотр событий -> система) при загрузке начали появляться две ошибки. смотрел более ранние логи - их не было. скрины ошибок прикрепляю к сообщению.
P.S. логи делал по этой инструкции (она первая появилась в гугле). насколкьо я понял там те же AVZ и hijackthis только автоматизированны
P.S. так же среди удаленных папок было что-то с названием вроде "trecent" или как-то так. все удаленные папки были созданы 14 мая вечером (после 17:00 или даже 19:00)
P.S.2 в ходе проверки утилитой CureIt случайно был удален кряк antiwpa (потом восстановил его)
Последний раз редактировалось Foxchrome; 15.05.2015 в 00:41.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Foxchrome, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
на форуме я вижу иероглифы в вашем коде, но когда копирую в текстовый файл, то они автоматически заменяются квадратами. это может как-то помешать лечению?
код сохранял в блокноте в кодировке UTF-8
после фикса и перезагрузки в логах системы пропало сообщение об ошибке, но между экраном "запуск windows" и "приветствие" опять появлялось окно с иероглифами из первого сообщения (после выполнение вашего скрипта в AVZ и сканирования с помощью FRST этого окна не было)
вроде бы всё чисто. спасибо
P.S. возник такой вопрос: что запускалось в качестве этого окна с иероглифами при загрузке? насколько я понял, твик реестра просто убрал лишние пути. а сам файл где-то остался?