Помогите удалить вирус.

SolarSpark · Отправлено: **19:41, 14-02-2011** | #11

Попробуйте загрузиться в режиме "чистой загрузки"
пуск - выполнить - msconfig
На вкладке Общие выберите параметр Выборочный запуск.
|
В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки.
|
На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все.
|
Нажмите Применить - OK и - Перезапустить.

В таком режиме мышь должна бы работать и попробуйте выполнить скрипт Combofix

batarejkin43 · Отправлено: **20:04, 14-02-2011** | #12

Мышь не работает))).После перезагрузки службы опять включены.

SolarSpark · Отправлено: **20:13, 14-02-2011** | #13

Твик реестра выполнить сможете?

batarejkin43 · Отправлено: **20:16, 14-02-2011** | #14

Цитата maniy77:

Твик реестра выполнить сможете? »

А поподробней можно,как это?

SolarSpark · Отправлено: **20:32, 14-02-2011** | #15

подробнее обязательно, только чуть позже..
пробуем выполнить скрипт для OTM by OldTimer в безопасном режиме.
Если не поможет, бум думать.. и подготовьте ERD Commander

batarejkin43 · Отправлено: **21:00, 14-02-2011** | #16

В безопасном режиме тоже самое.Есть Live CD с ERD Commander 5.0(XP/2003) ; ERD Commander 6.0(Vista/2008) ; ERD Commander 6.5(Win7/2008 R2)

SolarSpark · Отправлено: **21:24, 14-02-2011** | #17

грузимся с подходящей ERD Commander, запускаем erd regedit,
ищем через поиск по слову startupfolder в разделе HKLM и удаляем
[HKLM\~\startupfolder\C:^Users^E-Machines^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ЎЎЎЎЎЎ.lnk]

ищем и правим права к ключам
[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\PCW\Security]
найти раздел - в левом окне выделить, потом правой кнопкой - разрешения (permissions)
откроется окно " безопасность (security)"
"группы или пользователи" нажать кнопку "добавить"
дальше "дополнительно" выбрать себя, нажать ок, и дать себе права на полный доступ

находим файлы по ранее записанному пути и удаляем
c:\windows\system32\XP-D41D8CD9.EXE
c:\users\E-Machines\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk
c:\windows\pss\ЎЎЎЎЎЎ.lnk

загружаемся с операционки

batarejkin43 · Отправлено: **22:01, 14-02-2011** | #18

Цитата maniy77:

грузимся с подходящей ERD Commander, запускаем erd regedit,
ищем через поиск по слову startupfolder в разделе HKLM и удаляем
[HKLM\~\startupfolder\C:^Users^E-Machines^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ЎЎЎЎЎЎ.lnk] »

Это удалил,но рядом есть еще [HKLM\~\startupfolder\C:^Users^E-Machines^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^setup 9.0.0722_09.02.2011. Может тоже грохнуть не нравится оно мне? И где находим файлы по ранее записанному пути?

SolarSpark · Отправлено: **22:14, 14-02-2011** | #19

Virus Removal Tool - setup_9.0.0.722_09.02.2011_22-10 - это ваша утилита от каспера, грохать не надо

Цитата batarejkin43:

И где находим файлы по ранее записанному пути? »

есть проводник?
– в окне Welcome to ERD Commander выберите свою ОС –> OK; когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
и ищем по пути в папках указанные файлы зловредов

batarejkin43 · Отправлено: **22:27, 14-02-2011** | #20

Цитата maniy77:

найти раздел - в левом окне выделить, потом правой кнопкой - разрешения (permissions)
откроется окно " безопасность (security)"
"группы или пользователи" нажать кнопку "добавить"
дальше "дополнительно" выбрать себя, нажать ок, и дать себе права на полный доступ »

Нажимаю кнопку добавить,открывается окно ''Выбрать пользователя или группу'' "Имя объекта". Что там вписать?