Касперский не может удалить каку,после удаления и перезагрузки оно как ни в чем не бывало опять на месте![ATTACH=CONFIG]330154[/ATTACH][ATTACH=CONFIG]330155[/ATTACH][ATTACH=CONFIG]330156[/ATTACH]
Printable View
Касперский не может удалить каку,после удаления и перезагрузки оно как ни в чем не бывало опять на месте![ATTACH=CONFIG]330154[/ATTACH][ATTACH=CONFIG]330155[/ATTACH][ATTACH=CONFIG]330156[/ATTACH]
Уважаемый(ая) [B]sergo1980[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\d3d9.exe');
ClearQuarantine;
QuarantineFile('C:\windows\system32\mssrv32.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
DelBHO('{E738F11F-B0F3-4E0D-A5CA-6ED7B0BD4F5D}');
DelBHO('{8B81D6D7-7B02-4029-91AF-2BFF2F741555}');
QuarantineFile('C:\windows\system32\userinit.win','');
QuarantineFile('C:\windows\system32\d3d9.exe','');
QuarantineFile('C:\windows\system32\cicld.dll','');
QuarantineFile('C:\windows\system32\VDExt800.dll','');
DeleteFile('c:\windows\system32\d3d9.exe');
DeleteFile('C:\windows\system32\cicld.dll');
DeleteFile('C:\windows\system32\userinit.win');
DeleteFile('C:\windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
выполнил первый скрипт,произошла перезагрузка стал высвечивать пользователя для входа в систему,нажимаю на иконку начинает сохранять параметры и готовится к выключению.
Скопируйте на флешку с незараженной аналогичной системы (Windows XP SP3) файл C:\windows\system32\userinit.exe
Загрузитесь в зараженной системе с любого Win LiveCD, проверьте наличие файла на зараженном диске:
C:\windows\system32\userinit.exe
Если есть, переименуйте его в userinit.bak
Скопируйте туда же чистый userinit.exe с флешки.
Попробуйте перезагрузиться и отпишитесь.
все сделал,не помогло,без изменений.
– посмотрите в реестре:
[b]ветка[/B] [color="Red"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
[b]параметр[/b] [color="Blue"]userinit[/color]
Исправьте его значение на [B]C:\WINDOWS\system32\userinit.exe,[/B] (включая запятую!)
сделал,не помогло,без изменений.
Ваш Live CD позволяет смотреть реестр зараженной системы? Очень похоже, что Вы что-то сделали неправильно
Cледуя хронологии подсказок ,я зашел в реестр с live CD,а как по другому?Подскажите пожалуйста.
Что сейчас написано в параметре userinit?
X:\i386\system32\userinit.exe, насколько я понимаю это реестр загрузочного диска,это значение я исправлял на C:\WINDOWS\system32\userinit.exe,
как тогда зайти в зараженый реестр?
Посмотрите [URL="http://wiki.drweb.com/index.php/Userinit"]образец[/URL]
получилось!!! действую дальше
новые логи
вродебы все норм.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
на рабочем столе появляется пустая папка,удаляю,исчезает,появляется после перезагрузки.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VKtunes (Rogue.Installer) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Win (Backdoor.Bot) -> Value: Win -> No action taken.
Зараженные файлы:
c:\documents and settings\Admin\рабочий стол\все подряд\ключ\новая папка\kasper-keys.su (Trojan.Clicker) -> No action taken.
c:\program files\VKtunes\uninst.exe (Rogue.Installer) -> No action taken.[/code]
пустая папка продолжает появляться!
О какой пустой папке речь???