Касперский не может удалить каку,после удаления и перезагрузки оно как ни в чем не бывало опять на месте![ATTACH=CONFIG]330154[/ATTACH][ATTACH=CONFIG]330155[/ATTACH][ATTACH=CONFIG]330156[/ATTACH]
Printable View
Касперский не может удалить каку,после удаления и перезагрузки оно как ни в чем не бывало опять на месте![ATTACH=CONFIG]330154[/ATTACH][ATTACH=CONFIG]330155[/ATTACH][ATTACH=CONFIG]330156[/ATTACH]
Уважаемый(ая) [B]sergo1980[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\d3d9.exe');
ClearQuarantine;
QuarantineFile('C:\windows\system32\mssrv32.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
DelBHO('{E738F11F-B0F3-4E0D-A5CA-6ED7B0BD4F5D}');
DelBHO('{8B81D6D7-7B02-4029-91AF-2BFF2F741555}');
QuarantineFile('C:\windows\system32\userinit.win','');
QuarantineFile('C:\windows\system32\d3d9.exe','');
QuarantineFile('C:\windows\system32\cicld.dll','');
QuarantineFile('C:\windows\system32\VDExt800.dll','');
DeleteFile('c:\windows\system32\d3d9.exe');
DeleteFile('C:\windows\system32\cicld.dll');
DeleteFile('C:\windows\system32\userinit.win');
DeleteFile('C:\windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
выполнил первый скрипт,произошла перезагрузка стал высвечивать пользователя для входа в систему,нажимаю на иконку начинает сохранять параметры и готовится к выключению.
Скопируйте на флешку с незараженной аналогичной системы (Windows XP SP3) файл C:\windows\system32\userinit.exe
Загрузитесь в зараженной системе с любого Win LiveCD, проверьте наличие файла на зараженном диске:
C:\windows\system32\userinit.exe
Если есть, переименуйте его в userinit.bak
Скопируйте туда же чистый userinit.exe с флешки.
Попробуйте перезагрузиться и отпишитесь.
все сделал,не помогло,без изменений.
– посмотрите в реестре:
[b]ветка[/B] [color="Red"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
[b]параметр[/b] [color="Blue"]userinit[/color]
Исправьте его значение на [B]C:\WINDOWS\system32\userinit.exe,[/B] (включая запятую!)
сделал,не помогло,без изменений.
Ваш Live CD позволяет смотреть реестр зараженной системы? Очень похоже, что Вы что-то сделали неправильно
Cледуя хронологии подсказок ,я зашел в реестр с live CD,а как по другому?Подскажите пожалуйста.
Что сейчас написано в параметре userinit?
X:\i386\system32\userinit.exe, насколько я понимаю это реестр загрузочного диска,это значение я исправлял на C:\WINDOWS\system32\userinit.exe,
как тогда зайти в зараженый реестр?
Посмотрите [URL="http://wiki.drweb.com/index.php/Userinit"]образец[/URL]
получилось!!! действую дальше
новые логи
вродебы все норм.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
на рабочем столе появляется пустая папка,удаляю,исчезает,появляется после перезагрузки.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VKtunes (Rogue.Installer) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Win (Backdoor.Bot) -> Value: Win -> No action taken.
Зараженные файлы:
c:\documents and settings\Admin\рабочий стол\все подряд\ключ\новая папка\kasper-keys.su (Trojan.Clicker) -> No action taken.
c:\program files\VKtunes\uninst.exe (Rogue.Installer) -> No action taken.[/code]
пустая папка продолжает появляться!
О какой пустой папке речь???
папка под названием "speed of life" произвольно появляется на рабочем столе,удаляется,но после перезагрузки появляется вновь.
Если у вас [b][url="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]32 разрядная версия windows[/url][/b], то скачайте [url="http://www.safezone.cc/random/RSIT.exe"][b]Random's System Information Tool (RSIT)[/b][/url] или с [url="http://images.malwareremoval.com/random/RSIT.exe"]зеркала[/url]
Если у вас [b][url="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]64 разрядная версия windows[/url][/b], то необходимо скачать эту версию [url="http://www.safezone.cc/random/RSITx64.exe"][b]Random's System Information Tool(RSIT)x64[/b][/url] или с [url="http://images.malwareremoval.com/random/RSITx64.exe"]зеркала[/url]
Запустите, выберите проверку файлов за последние [b]три месяца[/b] и нажмите продолжить. Должны открыться два отчета [u]log.txt и info.txt. Прикрепите их к следующему сообщению[/u]. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
пресловутая папка перестала пявляться!(ничего не предпринимал,какой-то глюк)
Пофиксите в HiJack
[CODE]O20 - AppInit_DLLs: cicld.dll[/CODE]
опять продолжает появляться.в HiJack пофиксил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\userinit.win - [B]Trojan.Win32.Agent.hvgq[/B] ( DrWEB: Trojan.Siggen3.6756, BitDefender: Gen:Trojan.Heur.GG3@rKfhRxdj )[/LIST][/LIST]