Вирус создает новые папки в Documents and Settings (Windows XP) и назначает его рабочим профилем.
В результате чистый рабочий стол и т.д..
Антивирусные программы нечего не находят.
После удаления файлов og.dll и ul.dll перестал работать интернет.
Printable View
Вирус создает новые папки в Documents and Settings (Windows XP) и назначает его рабочим профилем.
В результате чистый рабочий стол и т.д..
Антивирусные программы нечего не находят.
После удаления файлов og.dll и ul.dll перестал работать интернет.
Уважаемый(ая) [B]infuzion[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Попробуйте установить [URL="http://www.microsoft.com/ru-ru/download/details.aspx?id=6676"]User Profile Hive Cleanup Service[/URL] перезагрузитесь, отпишитесь об эффекте. + Из реестра сделайте экспорт ветки [QUOTE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList[/QUOTE] приложите к следующему сообщению. Вложение virusinfo_cure.zip удалите из темы.
[video=youtube;LLBTtd_nmXg]http://www.youtube.com/watch?v=LLBTtd_nmXg[/video] по аналогии.
[QUOTE=mrak74;928502]Попробуйте установить [URL="http://www.microsoft.com/ru-ru/download/details.aspx?id=6676"]User Profile Hive Cleanup Service[/URL] перезагрузитесь, отпишитесь об эффекте. + Из реестра сделайте экспорт ветки приложите к следующему сообщению. Вложение virusinfo_cure.zip удалите из темы.
[video=youtube;LLBTtd_nmXg]http://www.youtube.com/watch?v=LLBTtd_nmXg[/video] по аналогии.[/QUOTE]
Не помогло.
Хочу добавить. В трее появляется значек подключения по сети. Но сама сеть блокирована.
Ветку заархивировал т.к. по другому программа не принимала.
Сообщение о том что Windows не может зайти под локальным профилем и вход будет осуществен под временным я так понимаю возникает сразу после загрузки Windows ? Если так то я пользуюсь в этом случае чужой идеей [url]http://nowa.cc/showpost.php?p=1353153&postcount=7[/url] У вас в экспортированной ветке реестра это выглядит так [QUOTE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1220945662-2147101821-725345543-1003.bak][/QUOTE]
[NOTICE]Не забудьте перед манипуляциями с реестром сделать копию изминяемых веток и сохранить данные из профиля восстанавливаемого пользователя на любой другой носитель, диск.[/NOTICE]
пофиксите в HijackThis [CODE]O20 - AppInit_DLLs: ,[/CODE]
[QUOTE=mrak74;928555]Сообщение о том что Windows не может зайти под локальным профилем и вход будет осуществен под временным я так понимаю возникает сразу после загрузки Windows ? Если так то я пользуюсь в этом случае чужой идеей [URL]http://nowa.cc/showpost.php?p=1353153&postcount=7[/URL] У вас в экспортированной ветке реестра это выглядит так
[NOTICE]Не забудьте перед манипуляциями с реестром сделать копию изминяемых веток и сохранить данные из профиля восстанавливаемого пользователя на любой другой носитель, диск.[/NOTICE]
пофиксите в HijackThis [CODE]O20 - AppInit_DLLs: ,[/CODE][/QUOTE]
Проверить рекомендацию пока не могу, т.к. исчезли учетные записи. Хотя в свойствах системы профили есть.
Попробую завтра зайти с LiveCD (под рукой нет) и подправить реестр.
Рекомендация не помогла. Вирус спрятал учетные записи. Создать новую запись не возможно. С помощью LiveCD подправил реестр и удалил папки профиля. При перезагрузке Вирус востановил свой профиль и создал папку нового профиля Temp. От куда загружается вирус понять не могу.
В system.ini подгружается какой-то файл.
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app866.FON
EGA80WOA.FON=EGA80866.FON
EGA40WOA.FON=EGA40866.FON
CGA80WOA.FON=CGA80866.FON
CGA40WOA.FON=CGA40866.FON
[U][boot-]
SCRNSAVE.EXE=%SystemRoot%\System32\logon.scr[/U]
При удалении строки вирус при следущей загрузки востанавливает эту загрузку.
В реестре в ветке WOW содержится несколько разделов boot (boot и boot-)
Это так и должно?
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Отсылаю лог ComboFix
что с проблемой ?
Ни чего не изменилось.
После перезагрузки интернет не появился.
[quote="infuzion;928494"]После удаления файлов og.dll и ul.dll перестал работать интернет.[/quote]
Заархивируйте их в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
что с профилем ?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ http://virusinfo.info/showthread.php?t=10267
Так как я провел очистку CCleaner-ом, файлов больше нет на диске.
........
[quote="regist;929037"]что с профилем ?
+ [url]http://virusinfo.info/showthread.php?t=10267[/url][/quote]
Профиль изменен. Идет из папки Temp. Старая рабочая папка Владелец. Новый профиль представляется Владельцем.
При входе в учетные записи - пусто. Новую создать не возможно. В свойствах системы три профиля
(Администратор, Владелец, Владелец). Старый в архиве. В трее показывает подключения к сети, но в сеть не войти.
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
рекомендации из темы по востановлению настроек сети выполняли ?
+ Попробуйте с Live CD создать ещё одну учётную запись и посмотреть будут ли эти проблемы повторяться на ней.
По востоновлению сети выполнил. Результатов нет.
После перезагрузки вывел сообщение :"Не удалось найти ваш локальный профиль, загрузка будет произведена с временным профилем"
Как создать учетную запись из LiveCD.
[quote="infuzion;929087"]После перезагрузки вывел сообщение :"Не удалось найти ваш локальный профиль, загрузка будет произведена с временным профилем"[/quote]
вот вам и ответ наваш вопрос, это не вирус а временный профиль. Попробуйте сделать следующее: возможно, повредились некоторые сектора жесткого диска, для этого зайдите в свойства диска, вкладка «сервис», «выполнить проверку», поставь везде галочки и нажмите «запуск». После этого перезагрузите компьютер, система выполнит сама все необходимые действия.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url]
Спасибо за рекомендации.
Сделал проверку диска. Старый профиль востановился.
Осталась только одна проблема -нет сети, хотя в трее показывает подключение.
как вариант выполните ещё раз рекомендации по восстановлению сети,просто на этот раз из вашего профиля (а не из временного).