Вирус создает новые папки в Documents and Settings (Windows XP) и назначает его рабочим профилем.
В результате чистый рабочий стол и т.д..
Антивирусные программы нечего не находят.
После удаления файлов og.dll и ul.dll перестал работать интернет.
Printable View
Вирус создает новые папки в Documents and Settings (Windows XP) и назначает его рабочим профилем.
В результате чистый рабочий стол и т.д..
Антивирусные программы нечего не находят.
После удаления файлов og.dll и ul.dll перестал работать интернет.
Уважаемый(ая) [B]infuzion[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Попробуйте установить [URL="http://www.microsoft.com/ru-ru/download/details.aspx?id=6676"]User Profile Hive Cleanup Service[/URL] перезагрузитесь, отпишитесь об эффекте. + Из реестра сделайте экспорт ветки [QUOTE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList[/QUOTE] приложите к следующему сообщению. Вложение virusinfo_cure.zip удалите из темы.
[video=youtube;LLBTtd_nmXg]http://www.youtube.com/watch?v=LLBTtd_nmXg[/video] по аналогии.
[QUOTE=mrak74;928502]Попробуйте установить [URL="http://www.microsoft.com/ru-ru/download/details.aspx?id=6676"]User Profile Hive Cleanup Service[/URL] перезагрузитесь, отпишитесь об эффекте. + Из реестра сделайте экспорт ветки приложите к следующему сообщению. Вложение virusinfo_cure.zip удалите из темы.
[video=youtube;LLBTtd_nmXg]http://www.youtube.com/watch?v=LLBTtd_nmXg[/video] по аналогии.[/QUOTE]
Не помогло.
Хочу добавить. В трее появляется значек подключения по сети. Но сама сеть блокирована.
Ветку заархивировал т.к. по другому программа не принимала.
Сообщение о том что Windows не может зайти под локальным профилем и вход будет осуществен под временным я так понимаю возникает сразу после загрузки Windows ? Если так то я пользуюсь в этом случае чужой идеей [url]http://nowa.cc/showpost.php?p=1353153&postcount=7[/url] У вас в экспортированной ветке реестра это выглядит так [QUOTE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1220945662-2147101821-725345543-1003.bak][/QUOTE]
[NOTICE]Не забудьте перед манипуляциями с реестром сделать копию изминяемых веток и сохранить данные из профиля восстанавливаемого пользователя на любой другой носитель, диск.[/NOTICE]
пофиксите в HijackThis [CODE]O20 - AppInit_DLLs: ,[/CODE]
[QUOTE=mrak74;928555]Сообщение о том что Windows не может зайти под локальным профилем и вход будет осуществен под временным я так понимаю возникает сразу после загрузки Windows ? Если так то я пользуюсь в этом случае чужой идеей [URL]http://nowa.cc/showpost.php?p=1353153&postcount=7[/URL] У вас в экспортированной ветке реестра это выглядит так
[NOTICE]Не забудьте перед манипуляциями с реестром сделать копию изминяемых веток и сохранить данные из профиля восстанавливаемого пользователя на любой другой носитель, диск.[/NOTICE]
пофиксите в HijackThis [CODE]O20 - AppInit_DLLs: ,[/CODE][/QUOTE]
Проверить рекомендацию пока не могу, т.к. исчезли учетные записи. Хотя в свойствах системы профили есть.
Попробую завтра зайти с LiveCD (под рукой нет) и подправить реестр.
Рекомендация не помогла. Вирус спрятал учетные записи. Создать новую запись не возможно. С помощью LiveCD подправил реестр и удалил папки профиля. При перезагрузке Вирус востановил свой профиль и создал папку нового профиля Temp. От куда загружается вирус понять не могу.
В system.ini подгружается какой-то файл.
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app866.FON
EGA80WOA.FON=EGA80866.FON
EGA40WOA.FON=EGA40866.FON
CGA80WOA.FON=CGA80866.FON
CGA40WOA.FON=CGA40866.FON
[U][boot-]
SCRNSAVE.EXE=%SystemRoot%\System32\logon.scr[/U]
При удалении строки вирус при следущей загрузки востанавливает эту загрузку.
В реестре в ветке WOW содержится несколько разделов boot (boot и boot-)
Это так и должно?
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Отсылаю лог ComboFix
что с проблемой ?
Ни чего не изменилось.
После перезагрузки интернет не появился.
[quote="infuzion;928494"]После удаления файлов og.dll и ul.dll перестал работать интернет.[/quote]
Заархивируйте их в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
что с профилем ?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ http://virusinfo.info/showthread.php?t=10267
Так как я провел очистку CCleaner-ом, файлов больше нет на диске.
........
[quote="regist;929037"]что с профилем ?
+ [url]http://virusinfo.info/showthread.php?t=10267[/url][/quote]
Профиль изменен. Идет из папки Temp. Старая рабочая папка Владелец. Новый профиль представляется Владельцем.
При входе в учетные записи - пусто. Новую создать не возможно. В свойствах системы три профиля
(Администратор, Владелец, Владелец). Старый в архиве. В трее показывает подключения к сети, но в сеть не войти.
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
рекомендации из темы по востановлению настроек сети выполняли ?
+ Попробуйте с Live CD создать ещё одну учётную запись и посмотреть будут ли эти проблемы повторяться на ней.
По востоновлению сети выполнил. Результатов нет.
После перезагрузки вывел сообщение :"Не удалось найти ваш локальный профиль, загрузка будет произведена с временным профилем"
Как создать учетную запись из LiveCD.
[quote="infuzion;929087"]После перезагрузки вывел сообщение :"Не удалось найти ваш локальный профиль, загрузка будет произведена с временным профилем"[/quote]
вот вам и ответ наваш вопрос, это не вирус а временный профиль. Попробуйте сделать следующее: возможно, повредились некоторые сектора жесткого диска, для этого зайдите в свойства диска, вкладка «сервис», «выполнить проверку», поставь везде галочки и нажмите «запуск». После этого перезагрузите компьютер, система выполнит сама все необходимые действия.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url]
Спасибо за рекомендации.
Сделал проверку диска. Старый профиль востановился.
Осталась только одна проблема -нет сети, хотя в трее показывает подключение.
как вариант выполните ещё раз рекомендации по восстановлению сети,просто на этот раз из вашего профиля (а не из временного).
Запустил еще раз ComboFix из своего профиля. Эффекта нет, только пропал значек языковой панели задач.
Запускал WinSockFix - тоже ничего.
При попытке удалить ComboFix, пишет что неможет его найти.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Запустил ComboFix из своего профиля. Ничего не изменилось, только пропал значек
языковой панели на панеле задач.
Пробовал удалить ComboFix -пишет что не может его найти.
[quote="infuzion;929546"]Запустил еще раз ComboFix из своего профиля. Эффекта нет, только пропал значек языковой панели задач.[/quote]
[url]http://increaseblog.ru/poleznye-sovety/propal-znachok-pereklyucheniya-yazyka-ruen.html[/url]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[quote="infuzion;929546"]Пробовал удалить ComboFix -пишет что не может его найти.[/quote]
удалите его вторым способом через утилиту.