[QUOTE=thyrex;826721]Конечно, записать образ на диск и загружаться с созданного диска[/QUOTE]
но я же только с лайв сиди могу запускаться. Я если вытащу диск из сидирома, то система зависнет.
Printable View
[QUOTE=thyrex;826721]Конечно, записать образ на диск и загружаться с созданного диска[/QUOTE]
но я же только с лайв сиди могу запускаться. Я если вытащу диск из сидирома, то система зависнет.
Записывать на диск образ Kaspersky Registry Editor нужно на другой чистой от вирусов машине
[QUOTE=thyrex;826731]Записывать на диск образ Kaspersky Registry Editor нужно на другой чистой от вирусов машине[/QUOTE]
это я понимаю. Но зараженный компьютер то может работать только с лайв сиди. Если я захочу вставить диск с касперским мне же придётся достать этот лайв сиди из сидирома и система сразу зависнет.
Мда, раз Вы не совсем понимаете, вот Вам полная инструкция. В ней Вы создаете загрузочный диск, с которого тоже можете загружаться
[b][color="Red"]I этап[/color][/b] (выполняется на [b]чистой от вирусов[/b] машине)
1. Скачайте на компьютере, [b]с которого сейчас пишете[/b], образ [url="ftp://devbuilds.kaspersky-labs.com/devbuilds/Kaspersky%20Registry%20Editor/"] Kaspersky Registry Editor[/url] (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
[b][color="Red"]II этап[/color][/b] (выполняется на [b]заблокированной[/b] машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите [b]текстовый[/b] курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите [b]Kaspersky Registry Editor[/b]
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), [b]если у Вас их несколько[/b]
– посмотрите в реестре:
[b]ветка[/B] [color="Red"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
[b]параметр[/b] [color="Blue"]userinit[/color]
[b]параметр[/b] [color="Blue"]shell[/color]
Значения этих параметров напишите в своем сообщении
[b]thyrex[/b], большое спасибо за подробную инструкцию!
[B]параметр[/B] [COLOR="#000080"]userinit[/COLOR] - [B]значение[/B] [COLOR="#000080"]C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\svcyksi.dat,[/COLOR]
[B]параметр[/B] [COLOR="#000080"]shell[/COLOR] - [B]значение[/B] [COLOR="#000080"]explorer.exe[/COLOR]
параметр userinit - значение C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\svcyksi.dat,
Этот параметр отредактируйте так:
C:\WINDOWS\system32\userinit.exe,
(с запятой на конце)
Файл C:\WINDOWS\apppat ch\svcyksi.dat переименуйте в C:\WINDOWS\apppat ch\svcyksi.bak
Попробуйте загрузиться в обычном режиме и сделайте логи по правилам.
C:\WINDOWS\apppat ch\svcyksi.bak заархивируйте в формате zip с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
[QUOTE=Nikkollo;826758]
Файл C:\WINDOWS\apppat ch\svcyksi.dat переименуйте в C:\WINDOWS\apppat ch\svcyksi.bak[/QUOTE]
в указанной директории файла svcyksi.dat нет. Пробовал даже открыть его через адресную строку - тоже говорит что нет такого файла в этой директории.
[quote="Nikkollo;826758"]параметр userinit - значение C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\svcyksi.dat,
Этот параметр отредактируйте так:
C:\WINDOWS\system32\userinit.exe,
(с запятой на конце)[/quote]Это сделайте и пробуйте загружаться
[U]Если блокировка останется[/U]
Проверьте все возможные папки Run (поиском в реестре, Kaspersky Registry Editor это позволяет) в ветках HKEY_LOCAL_MACHINE и HKEY_USERS на наличие неизвестных или подозрительных ключей в них
[QUOTE=thyrex;826769]Это сделайте и пробуйте загружаться[/QUOTE]
Это я сделал.
Кстати, хочу напомнить, что после проверки компьютера CureIt'ом заставка с порнухой прапала, но зато теперь не получается войти в систему. При попытке это сделать выбрасывает обратно в меню выбора учетных записей.
[QUOTE=thyrex;826769]Проверьте все возможные папки Run (поиском в реестре, Kaspersky Registry Editor это позволяет) в ветках HKEY_LOCAL_MACHINE и HKEY_USERS на наличие неизвестных или подозрительных ключей в них[/QUOTE]
Проверил, но не знаю что считать подозрительным, поэтому выложу скриншоты.
[ATTACH=CONFIG]330237[/ATTACH][ATTACH=CONFIG]330241[/ATTACH][ATTACH=CONFIG]330242[/ATTACH][ATTACH=CONFIG]330243[/ATTACH][ATTACH=CONFIG]330244[/ATTACH]
Отлично.
C:\Windows\Temp\golodor.exe и есть Ваш блокировщик.
Теперь зайдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
В ней увидите папку userinit.exe с параметром [B]debugger[/B], значение которого и есть этот файл.
Удаляйте эту папку и пробуйте загружаться
Получилось! Компьютер снова работоспособен. Большое спасибо за помошь! :victory:
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
log
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\jar_cache1613315413200675412.tmp', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\a9w1soojaa.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\hxxtjjfv.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\qlccxoojaa.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0dzuu6g.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0eezqql.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0lhcc6o.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0oojaav.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\2u5plgh.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\3ccxooj.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\6cc6oo6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\6gg6ss6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\70vrmm6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\9a1wssn.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\9y1uqql.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\k6ww6ii6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\lbbxnnjz.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\pfq1ghm81yj.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\q6g81sdez.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\aavmmhyytk.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\aq0rhn66e8.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\brrnddzp.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\bw1soojaav.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\e1awwrii.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\eezqqlccxo.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\gccxoojaav.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\qqlccxooja.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\rhhdttpf.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\s70tpkk6w.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\tjjfvvrh.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\u1qmmhyy.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\u9q1miiduu.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\xss6ee6qq6c.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\2416447.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\9378085.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\WINDOWS\Temp\golodor.dat', 'MBAM: Trojan.Ransom');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\program files\abbyy finereader 10\10.0.102.109n.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\abbyy finereader 10\finereader 10.0.102.109 professional edition\10.0.102.109n.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\Adobe\acrobat 10.0\Acrobat\keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\program files\ASCON\kompas-3d v12\kompas-3d_v12sp1_antihasp_v1.1.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\ASCON\kompas-3d v12\Bin\kompas-3d_v12sp1_antihasp_v1.1.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\Sony\vegas pro 9.0\Keygen.exe (Trojan.Agent.CK) -> No action taken.
e:\adobe.photoshop.cs5.extended.2010.pc\keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\guitar pro 5.2 + (crack rus)\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
g:\downloads\abbyy_finereader_10\finereader 10.0.102.109 professional edition\10.0.102.109n.exe (PUP.Hacktool.Patcher) -> No action taken.
g:\downloads\acrobat.x.pro.rus-eng\Crack\keygen.exe (RiskWare.Tool.CK) -> No action taken.
g:\downloads\adobe.illustrator.cs5.2010.pc\keygen.exe (RiskWare.Tool.CK) -> No action taken.
g:\downloads\adobe.photoshop.lightroom.3.2010.pc\информация\keygen.exe (Malware.Packer.Gen) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken.
g:\downloads\autocad_2006\Keygen.exe (Malware.Gen) -> No action taken.
g:\downloads\noiseninjaplugin_win32 64 2_3_6\keygen core.exe (Trojan.Dropper.PGen) -> No action taken.
g:\downloads\noiseninjaplugin_win32 64 2_3_6\keygen.exe (Trojan.Dropper.PGen) -> No action taken.[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]72[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]