Помогите удалить вирус.
На компе(windows7),антивирусы(с live cd,почти все известные) находят не менее 15 вирусов, но удалить их ни кто не может.Мышь с тачпадом, блокируется,диспетчер не может завершить не один процесс,msconfig не может редактировать автозапуск,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run пуст.В safe mode тоже самое.Подскажите пожалуйста как быть.
|
Цитата:
|
Cureit с флешки ни чего не находит, HijackThis не устанавливается,пишет "Не удалось получить доступ к службе установщика windows Installer.Возможно,не установлен Windows Installer.Обратитесь за помощью в службу поддержки."
|
Цитата:
1.В вашем случае необходимо использовать Dr.Web LiveCD, очистит и полечит. Им проверялись? только записывать образ надо на заведомо чистой системе. 2. проверка целостности системных файлов. Вставить диск с дистрибутивом. пуск - выплонить - вбить Цитата:
3.Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." |
1.Dr.Web использовал
2.Вбиваю "sfc.exe /scannow",ничего не происходит. И еще,поставил бесплатного Касперского,после загрузки системы,вылазит UAC,спрашивает,можно ли Касперскому внести изменения.Так вот,при любом ответе,после нажатия,экран темнеет раза в два.И так и остается темнее. |
Вложений: 1
C:\ComboFix.txt
|
Ну как ваши дела?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
KillAll:: Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. |
Я наверное так не смогу сделать,у меня же мышка не работает,все стрелочками.Кстати после ComboFix,начал работать msconfig и можно управлять автозапуском,и я вроде вижу прописание вируса,убираю галочку,но она опять появляется после перезагрузки.А так как окошко конфигурации системы маленькое и не работает мышка я не могу точно посмотреть его название и место расположение.
|
А мышь у вас не работает потому что ключик реестра заблочен зловредом
давайте так попробуем Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код:
:Processes Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. |
Цитата:
|
Попробуйте загрузиться в режиме "чистой загрузки"
пуск - выполнить - msconfig На вкладке Общие выберите параметр Выборочный запуск. | В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки. | На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все. | Нажмите Применить - OK и - Перезапустить. В таком режиме мышь должна бы работать и попробуйте выполнить скрипт Combofix |
Мышь не работает))).После перезагрузки службы опять включены.
|
Твик реестра выполнить сможете?
|
Цитата:
|
подробнее обязательно, только чуть позже..
пробуем выполнить скрипт для OTM by OldTimer в безопасном режиме. Если не поможет, бум думать.. и подготовьте ERD Commander |
В безопасном режиме тоже самое.Есть Live CD с ERD Commander 5.0(XP/2003) ; ERD Commander 6.0(Vista/2008) ; ERD Commander 6.5(Win7/2008 R2)
|
грузимся с подходящей ERD Commander, запускаем erd regedit,
ищем через поиск по слову startupfolder в разделе HKLM и удаляем [HKLM\~\startupfolder\C:^Users^E-Machines^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ЎЎЎЎЎЎ.lnk] ищем и правим права к ключам [HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] [HKEY_LOCAL_MACHINE\system\ControlSet004\Control\PCW\Security] найти раздел - в левом окне выделить, потом правой кнопкой - разрешения (permissions) откроется окно " безопасность (security)" "группы или пользователи" нажать кнопку "добавить" дальше "дополнительно" выбрать себя, нажать ок, и дать себе права на полный доступ находим файлы по ранее записанному пути и удаляем c:\windows\system32\XP-D41D8CD9.EXE c:\users\E-Machines\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk c:\windows\pss\ЎЎЎЎЎЎ.lnk загружаемся с операционки |
Цитата:
|
Virus Removal Tool - setup_9.0.0.722_09.02.2011_22-10 - это ваша утилита от каспера, грохать не надо
Цитата:
– в окне Welcome to ERD Commander выберите свою ОС –> OK; когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\); и ищем по пути в папках указанные файлы зловредов |
Цитата:
|
Цитата:
|
Комп не мой,не знаю
|
что у вас там есть, какие группы / пользователи?
дайте права любому из пользователей... |
Все,система,NETWORK SERVICE,Администраторы,Пользователи,Гости. Может eMachines? Это же ноут.Может он сам так обозвался?Открываю проводник там eMashines(C) и Boot(X:) Так я понимаю что в поле "имя объекта" можно вписать eMashines?
|
Выберите команду Пуск >Панель управления и в разделе Учетные записи пользователей и семейная безопасность щелкните на ссылке Добавление и удаление учетных записей пользователей. - там указаны учетки..
давайте права любому из пользователей, потом заканчивайте с коммандером, перезагрузка. если мышь не появилась, опять грузимся с коммандера и удаляем эти ветки.. И применяем твик реестра: скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Код:
[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] |
"Не удается импортировать ..... Указанный файл не является файлом данных реестра.Возможен импорт только двоичных файлов данных реестра"
Кстати из c:\windows\system32\XP-D41D8CD9.EXE c:\users\E-Machines\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk c:\windows\pss\ЎЎЎЎЎЎ.lnk нашел только последний. |
Цитата:
Код:
Windows Registry Editor Version 5.00 |
Блин,опять выдает "Не удается импортировать.... Ошибка при доступе к реестру"
|
пожалуйста через редактор реестра найдите эти ветки:
[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] и [HKEY_LOCAL_MACHINE\system\ControlSet004\Control\PCW\Security] выделите, нажмите файл - экспорт. сохраните под любым именем с расширением .txt файлы выложите сюда |
Вложений: 1
HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings пожалуйста. А "HKEY_LOCAL_MACHINE\system\ControlSet004\Control\PCW\Security"при экспорте пишет :"Указанная ветвь не существует.Проверьте правильность задания пути"
|
Скопируйте в блокнот, сохраните с расширением reg и добавьте:
Код:
Windows Registry Editor Version 5.00 |
Цитата:
|
AVZ - Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin |
Только что решил подключить его к инету,подключил,он начал качать системные обновления,перегрузился и начала работать мышь. Подскажите пожалуйста как это понимать,надолго ли это и что мне делать дальше?
|
Рано обрадовался,после следующей перезагрузки появился BSoD и в обычном режиме теперь не грузится
|
ошибка сетевого драйвера
В безопасном режиме загрузиться можете? |
Да загружал,сделал откат системы,все заработало и мышь продолжает работать.НО,поставил aviru,без мыши не мог,она не может запустить ни одну свою службу,даже обновится не может.
|
логи придётся повторить
|
AVZ
|
HijackThis не пойму что хочет.
|
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
var S: String; |
Путь к файлу hosts =>
C:\Windows\System32\drivers\etc\hosts |
Пуск - выполнить в поле открыть впишите:
Цитата:
Цитата:
после этого подготовить логи RSIT |
у вас симантек, касперский и теперь еще и авира-адская смесь.
Оставьте один антивирус, остальные деинсталлируйте. |
Вложений: 2
Цитата:
|
Цитата:
|
Цитата:
|
Проверьте файлы на virustotal.com
Код:
C:\Windows\SWXCACLS.exe в автозагрузке висит rdpclip, программа знакома? Давайте новый лог Combofix 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." |
Вложений: 1
Цитата:
Цитата:
Еще мне не нравится одна строка в автозапуске,убираю галочку,а она после перезагрузки,снова появляется.Скрин прилагается.И кстати,на скрине видно,полупрозрачные файлы на рабочем столе,которые появились,то ли после первого запуска ComboFix,то ли после HijackThis.Что это может быть? |
легальный файл rdpclip.exe должен находится в C:\Windows\system32\ (Microsoft RDP Clip Monitor Application)
Цитата:
Цитата:
|
Ну как самочувствие? Что еще беспокоит кроме мыши и папок?))
какой у вас версии IE? Рекомендую IE8 . Обновление обязательно, даже если не пользуетесь! Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Затем Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM |
Вложений: 2
Беспокоит avira,не может запустить свои модули.
|
Удалите в Malwarebytes' Anti-Malware
Код:
Зараженные файлы: Код:
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Если хотите безпроблемно пользоваться avira, вот это дело Цитата:
После этого запускаем модули антивируса.. Неудача?-сносим и устанавливаем заново |
Вложений: 1
Цитата:
|
Вложений: 1
Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump).
При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме. скачайте из вложения утилиту для удаления Продуктов ЛК, драйвера вижу неудаленные, и только потом повторная установка авиры Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected[*] нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. |
Вложений: 2
Цитата:
|
Цитата:
Тип подключения к сети у вас какой? |
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll:: Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Проверяем и зачищаем следы: Удаляем папку Kaspersky Lab по адресу C:\Program Files\Kaspersky Lab\ При некорректном удалении/использовании NDIS 6 Filter переходит в такой режим работы, который может привести к нестабильной работе всей операционной системы (например, к падению в "синий экран"). В сетевых подключениях в свойствах на вкладке "общие" проверяем наличие установленного драйвера Kaspersky Anti-Virus NDIS 6 Filter. Если присутствует-удаляем. В диспетчере устройств в свойствах сетевой карты смотрим наличие галки "отключать для экономии энергии". Если присутствует-снимаем. Перезагрузка. Далее, что с дровами на сетевую? когда обновлялись, родные? |
В догонку:
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. AVPTool деинсталируйте. Информация(инструкция) для удаления продуктов Касперского http://support.kaspersky.ru/faq/?qid=208635705 |
Вложений: 1
Вроде все не нужное посносил и avira заодно ))),поставил Microsoft Security Essentials,обновил дрова.
|
Цитата:
а мой скрипт для ComboFix вы выполняли? у вас не зачищен ни Каспер ни Авира. Смотрим внимательно и выполняем! http://forum.oszone.net/thread-148474.html а IE вы обновили? |
Вложений: 1
Постарался получше почистить.Ваш выполнял.Обновил.
|
Как самочувствие?
Деинсталлируйте Malwarebytes' Anti-Malware - программа предназначена для временного пользования во время лечения. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Очистите зараженную и создайте новую контрольную точку восстановления: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли Рекомендую: - не работать за компьютером с правами администратора - в Internet Explorer (рекомедуется IE8 ) отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - не устанавливать на ПК два и более антивирусных ПО. |
Спасибо всем откликнувшимся.
Цитата:
|
Время: 10:15. |
Время: 10:15.
© OSzone.net 2001-