Перейти к содержимому


Фото
- - - - -

Не открывается реестр,CCleaner,HijackThis

реестрCCleaner вирус

  • Please log in to reply
13 ответов в этой теме

#1 WhiteSpirt

WhiteSpirt

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Май 2015 - 19:35

Я столкнулся с проблемой - реестр не открывается ,но никакое из решений с http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%87%D1%82%D0%BE-%D1%82%D0%BE_%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%BEне помогло (кроме как утилита которую я не понял как скачать)

Не открывается реестр,CCleaner, HijackThis так как он не включался ни при запустке от именти админа ни при помощи утилиты из инструкции(http://forum.drweb.com/index.php?showtopic=313238)

Помимо этого при запуске компьютера открывается сайт(решение известно, без доступа в реестр не выполнимо)

При попытке войти в реестр ничего не происходит, как и при запуске CCleaner и HikjackThis

Прикрепленные файлы:


Сообщение было изменено WhiteSpirt: 13 Май 2015 - 19:37


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 089 Сообщений:

Отправлено 13 Май 2015 - 19:35

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 13 Май 2015 - 19:39

правой кнопкой-запустить от админа


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#4 mike 1

mike 1

    Advanced Member

  • Posters
  • 815 Сообщений:

Отправлено 13 Май 2015 - 19:49

правой кнопкой-запустить от админа

Там отладчик стоит на некоторые имена файлов :)

Опасно - отладчик процесса "adwcleaner_4.203.exe" = "svchost.exe"
Опасно - отладчик процесса "AnVir.exe" = "svchost.exe"
Опасно - отладчик процесса "AutoLogger.exe" = "svchost.exe"
Опасно - отладчик процесса "avz.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner64.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST64.exe" = "svchost.exe"
Опасно - отладчик процесса "HiJackThis.exe" = "svchost.exe"
Опасно - отладчик процесса "regedit.exe" = "svchost.exe"
Опасно - отладчик процесса "RegWorks.exe" = "svchost.exe"
Опасно - отладчик процесса "RSIT.exe" = "svchost.exe"
Опасно - отладчик процесса "RSITx64.exe" = "svchost.exe"

Глубина - глубина, я не твой отпусти меня, глубина


#5 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 13 Май 2015 - 19:52

нешта?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#6 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 13 Май 2015 - 19:54

хотя скорей всего нет.

что-то файловое....как сектор

из темпа выносите


Сообщение было изменено mrbelyash: 13 Май 2015 - 19:56

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#7 mike 1

mike 1

    Advanced Member

  • Posters
  • 815 Сообщений:

Отправлено 13 Май 2015 - 19:57

хотя скорей всего нет.

что-то файловое....как сектор

^_^

 

 

 

нешта?

Нет там файлового вируса.  ;)


Глубина - глубина, я не твой отпусти меня, глубина


#8 WhiteSpirt

WhiteSpirt

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Май 2015 - 20:06

правой кнопкой-запустить от админа

Как я писал выше, простите что неграмотно, но от имени администратора ничего из перечисленного не запускается

 

хотя скорей всего нет.

что-то файловое....как сектор

из темпа выносите

Я не совсем понял последнюю строчку
Но если она ко мне ,пишите ,пришлю всё что нужно


Сообщение было изменено WhiteSpirt: 13 Май 2015 - 20:09


#9 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 13 Май 2015 - 20:17

>Как я писал выше, простите что неграмотно, но от имени администратора ничего из перечисленного не запускается

в принципе отслеживают по имени.....перемеименуйтк  его

можно еще подпись сбить


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#10 WhiteSpirt

WhiteSpirt

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Май 2015 - 20:41

>Как я писал выше, простите что неграмотно, но от имени администратора ничего из перечисленного не запускается

в принципе отслеживают по имени.....перемеименуйтк  его

можно еще подпись сбить

Вы были правы
При переименовании HijackThis запустился
Вот ссылка на отчёт http://dropmefiles.com/ByQv3



#11 WhiteSpirt

WhiteSpirt

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Май 2015 - 21:14

Спасибо, вирусный сайт при запуске я удалил, хоть и не совсем понял почему я не могу зайти в реестр без переименовывания файла.



#12 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Май 2015 - 06:23

есть хитрые способы

-детект процесса по имени

-в реестре можно кое чего подправить


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#13 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Май 2015 - 06:26

www.sweet-page.com -бяка,убейте ее

O4 - HKLM\..\Run: [CMD] cmd.exe /c start
http://zenigameblinger.org&& exit -убить


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#14 WhiteSpirt

WhiteSpirt

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Май 2015 - 16:10

www.sweet-page.com -бяка,убейте ее

O4 - HKLM\..\Run: [CMD] cmd.exe /c start
http://zenigameblinger.org&& exit -убить

Спасибо , удалил.





Also tagged with one or more of these keywords: реестрCCleaner, вирус

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых