|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Ошибка - [решено] Не удаляется ключ из реестра, автозагрузка. |
|
Ошибка - [решено] Не удаляется ключ из реестра, автозагрузка.
|
Новый участник Сообщения: 21 |
Профиль | Отправить PM | Цитировать Доброго всем времени суток.
Началось все банально. "Ну-у, принесли флешку, антивирус что-то запищал, что-то нажали, ой, все перестало работать." Прихожу, вижу: Ни на какие нажатия никаких кнопок компьютер не реагирует. На заведомо чистом компьютере скачиваю Dr.Web CureIT, записываю на болванку, "больной" компьютер загружаю в безопасном режиме и запускаю CureIT прямо с болванки. Из того что он налечил, я понял что это какая-то разновидность Zlob. Перезагружаюсь. Окно снова появляется, однако теперь, если нажать на "ОК" загрузка продолжается и комп работает как обычно. В автозапуске прописалось это: rundll32.exe "C:\WINDOWS\system32\xodqtahl.dll",b Пробовал удалять из реестра: а) вручную б) с помощью CCleaner 2.06 в) Autoruns 9.21 г) HijackThis v1.99.1 д) AVZ 4.30 Бесполезно. Сканирование с помощью последней утилиты, ClamWin 0.93, Arovax AniSpyware 2.1.153, Spyware Terminator 2.2.2.438, ничего не дало (нашел только патченную C:\WINDOWS\system32\advapi32.$$$, но это, как я узнал у гугля, проделки КриптоПро) Т.е. ключ этот обнаруживается, удаляется и тут же появляется снова. Вот процессы, вроде ничего криминального не вижу. В службах тоже ничего подозрительного. Конфигурация и софт сабжевого компьютера тут. |
|
Отправлено: 14:13, 01-07-2008 |
Новый участник Сообщения: 21
|
Профиль | Отправить PM | Цитировать yurfed, спасибо за совет.
Pili, отправил в ЛС ссылку. Логи присоединяю. |
Отправлено: 18:11, 01-07-2008 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 21
|
Профиль | Отправить PM | Цитировать Ура-ура-ура!!! /me прыгает от радости )
Спасибо огромадное, это просто колдунство какое-то! Исчезла эта раздражающая надпись и мир наступил в моих бедных ламерских мозгах. Если можно, прежде чем закрыть топик, ответьте на несколько вопросов: а) Восстановление системы обратно включить или и без него прожить можно? б) Как правильно удалить бедолагу Касперского? Вот что я обнаружил в оснастке управления службами: Просто удалить папку не могу, ругается, типа либо нет доступа, либо файл занят. в) В чем была причина моей неудачи? Не дайте помереть неучем. Я ведь эту длл-ку искал. Через Тотал Командира, Alt+F7 и в безопасном, не видно её было! |
Отправлено: 18:34, 01-07-2008 | #12 |
Ветеран Сообщения: 20046
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 18:38, 01-07-2008 | #13 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать A0084403.dll - Trojan.Win32.Vapsup.gqj
Удалился отключением восстановления системы. Цитата Don Reba:
Цитата Don Reba:
Цитата Don Reba:
Запускаете AVPTool, когда закроете окно, кн "х", запросит про удаление, подтверждаете. По логам чисто. Рекомендую отключить не используемые службы и настроить безопасность Цитата:
begin //TermService (Службы терминалов) SetServiceStart('TermService', 4); //терминальные подключения к ПК RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1); //возможность подключения анонимных пользователей RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); //административный доступ к локальным дискам RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); //RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) SetServiceStart('RDSessMgr', 4); //mnmsrvc (NetMeeting Remote Desktop Sharing) SetServiceStart('mnmsrvc', 4); //TlntSvr (Telnet) SetServiceStart('TlntSvr', 4); //SSDPSRV (Служба обнаружения SSDP) SetServiceStart('SSDPSRV', 4); end. Для защиты от вирусов типа autorun.inf Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета. |
||||
------- Отправлено: 08:26, 02-07-2008 | #14 |
Новый участник Сообщения: 21
|
Профиль | Отправить PM | Цитировать Спасибо. Но...
этот компьютер в сети, маленькой но сети. И Гостя мне пришлось включить, потому что иначе, не было доступа к расшаренным папкам других компов сети. Плюс, эта чертова система Контур-Экстерн, сдача налоговых отчетов через Инет, дюже капризная, мало ли что ей нужно. Так что, благодарю, но от отключения служб пока воздержусь. По крайней мере, без возможности безболезненного отката. А вот после отключения автозагрузки, исчезло "безопасное извлечение устройств". Это нормально? Если нет, в каком разделе форума уместно об этом поговорить? И еще. Интересно ваше мнение о "Средстве удаления вредоносных программ" aka KB890830-v1.42? Бесполезное барахло или все таки что-то может? (дело в том что и ее применял, просто забыл упоминуть в первом посте) Цитата Pili:
|
|
Отправлено: 16:46, 02-07-2008 | #15 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Цитата Don Reba:
Можно вернуть автозапуск твиком (не рекомендую) Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"=- Цитата Don Reba:
[решено] Не появляеться значок "Безопасное извлечение устройства" при подключении USB Device Цитата Don Reba:
|
|||
------- Отправлено: 17:06, 02-07-2008 | #16 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Разное - [решено] Ключ реестра WinXP, отвечающий за энергосбережение дисплея | kv39 | Microsoft Windows 2000/XP | 14 | 05-09-2009 02:19 | |
Разное - [решено] ключ реестра, включающий заставку с защитой паролем | seman | Microsoft Windows 2000/XP | 3 | 14-07-2009 13:07 | |
Не удаляется ветка реестра | Alex5 | Microsoft Windows 2000/XP | 29 | 11-10-2006 22:12 | |
Не удаляется ветка реестра | drummer | Microsoft Windows 2000/XP | 8 | 31-05-2006 08:59 | |
[решено] Ключ реестра отвечающий за расположение папки Мои Рисунки | _STEP_ | Microsoft Windows 2000/XP | 1 | 24-09-2005 23:01 |
|