Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) dlenacsm, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Параметр userinit исправьте на такой:
C:\WINDOWS\system32\userinit.exe,
Эти ключи удалите:
"S2118667"="C:\\Documents and Settings\\first\\ms.exe"
"S13579175"="C:\\Documents and Settings\\first\\ms.exe"
"S14711313"="C:\\Documents and Settings\\first\\ms.exe"
"S1628167"="C:\\Documents and Settings\\first\\ms.exe"
"S750127"="C:\\Documents and Settings\\first\\ms.exe"
"S77359"="C:\\Documents and Settings\\first\\ms.exe"
"S171584"="C:\\Documents and Settings\\first\\ms.exe"
"S909332"="C:\\Documents and Settings\\first\\ms.exe"
"S5817435"="C:\\Documents and Settings\\first\\ms.exe"
"S160107140"="C:\\Documents and Settings\\first\\ms.exe"
"S165131161"="C:\\Documents and Settings\\first\\ms.exe"
Файл C:\Documents and Settings\first\ms.exe заархивируйте с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин". Затем удалите этот файл.
Попробуйте загрузиться. Если получилось, сделайте логи по правилам.
Дейстововал по инструкциям рассположенным здесь http://virusinfo.info/showthread.php...hlight=winlock. соответственно реестр смотрел в среде kaspersky rescue disk. там же поправил реестр по вашим рекомендациям. вопрос: как заархивировать файл находясь в среде kaspersky rescue disk? если нужно зайти в безопасном режиме напомните как это делать?
нет после редактирования в обычном режиме опять окно. как и в безопасном впрочем тоже . после попытки загрузится в обычном в ветке HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run появился ключ "S1976297"="C:\\Documents and Settings\\first\\ms.exe" я его удалил
после попытки загрузки в безопасном режиме там же появился ключ "S3150126"="C:\\Documents and Settings\\first\\ms.exe" тоже удалил. остальное все что мы исправляли в норме.
что делать дальше? файл выслать не могу (только если переслать на здоровую машину ,без архивирования через интернет почту - но что-то боязно). логи сделать тоже не могу.
Попробуйте загрузиться в безопасном режиме с поддержкой командной строки.
В командной строке наберите explorer.exe и нажмите Enter.
Если нормально, сделайте логи.
смог загрузить проводник из командной строки заархивировал и удалил ms.exe. загрузился в обычном режиме. ПОЛУЧИЛОСЬ! однако сглупил заархивировал в rar а у вас принимает только zip попробовал распаковать но rar написал, что ошибка в распаковываемом файле и отказался распаковывать. поэтому прислать вам "друга" не получится. делаю логи.
У вас много статических маршрутов (routes_20120528-214843.zip - просмотр заархивированного файла routes_20120528-214843.reg в блокноте).
Это может блокировать доступ к некоторым сайтам.
Среди них могут быть и легитимные. Ваш провайдер предусматривал какие-либо статические маршруты для подключения интернет или его других услуг?
Еще загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".
Тогда попробуем очистить.
Выполните скрипт в AVZ (как выполнить):
Код:
begin
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
end.
Перезагрузите компьютер и проверьте интернет (и другие услуги провайдера, если пользуетесь).
Если что-то нарушилось, дважды щелкните по вышеуказанному рег файлу routes_20120528-214843.reg и нажмите "Да" на запрос о внесении изменений в реестр.
Попробуйте посмотреть файлы с бредовыми именами по списку в вашем первом сообщении, в папке C:\WINDOWS\system32\
Если найдете что-нибудь, заархивируйте с паролем virus и загрузите по красной ссылке вверху.
(понимаю, что их там много... хотя бы бегло посмотрите).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: