41 ответов в этой теме

[Borka]

Попробуйте переименовать файл. Какие еще записи восстанавливаются?
- Еще я сбрасывал ветку Image File Execution Options в дефолт, но не знаю как проверить изменилась ли она относительно дефолта.

Ну а HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ?

Есть возможность загрузиться с внешнего носителя?
- К сожалению такой возможности сейчас нету(

Скачайте свежий КуреИт и попробуйте запустить его, переименовав, например, в explorer.exe

[torment]

Ну а HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ?
- меняю значение Taskman на дефолтное, после этого прописывается в
C:\RECYCLER\S-1-5-21-9886971553-8082668668-442689451-3024\nissan.exe


Скачайте свежий КуреИт и попробуйте запустить его, переименовав, например, в explorer.exe
- из моего первого поста в этой теме

ни одно сканирование НЕ получается:
- скачал cureit, архив, создал папку, все по инструкции, запускаю бат файл - выдается куча ошибок (ошибка: системе не удалось найти указанный раздел или параметр реестра) - 10 штук, далее: операция успешно завершена, запускаю cureit винда зависает.
- hijack не устанавливается, пишет : ошибка: данная установка запрещена политикой выбранной системным администратором
- gmer скачал, запускается, начинает проверку, но секунд через 10 вылезает ошибка: Инструкция по адресу 0х0045с887 обратилась к памяти по адресу 0х00000008. Память не может быть read. И приложение останавливается.


Сейчас меня больше всего волнует вопрос: как мне отправит 3 зараженных файла в вируслаб, если у меня не грузится сайт Ddrweb, только форум? Спрашивал уже несколько раз, никто не отвечает((

[Borka]

Ну а HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ?
- меняю значение Taskman на дефолтное, после этого прописывается в
C:\RECYCLER\S-1-5-21-9886971553-8082668668-442689451-3024\nissan.exe

Живой суслик. RkU запускается?

Сейчас меня больше всего волнует вопрос: как мне отправит 3 зараженных файла в вируслаб, если у меня не грузится сайт Ddrweb, только форум? Спрашивал уже несколько раз, никто не отвечает((

Давайте в архиве в личку.

Покажите файл c:\WINDOWS\system32\drivers\etc\hosts
"Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать route print [нажать Enter]
Вывод сюда.

[Borka]

winsystem.exe - infected with Trojan.MulDrop.64729
Остальыне не детектятся:
F:\zzzz\5\virlab\5594d550.exe - packed by FLY-CODE
>F:\zzzz\5\virlab\5594d550.exe - packed by FLY-CODE
>>F:\zzzz\5\virlab\5594d550.exe - Ok (1253ms 30K 1242ms 24KB/s)
F:\zzzz\5\virlab\bnrk4or.exe - packed by FLY-CODE
>F:\zzzz\5\virlab\bnrk4or.exe - Ok (599ms 76,5K 598ms 127KB/s)

Тикет [drweb.com #1188426]

[torment]

RkU запускается?
- неа( Установил его, он пишет ошибку Error loading\opening driver

hosts прикрепил (почему-то просто так не прикреплялся, только в архиве прикрепился)

скриншоты route print прикрепил

Прикрепленные файлы:

•  route_print_screenshots.rar   196,86К   22 Скачано раз
•  hosts.rar   532байт   19 Скачано раз

[torment]

Вот я дурак, зачем-то скриншоты делал

Прикрепил правильный файл route print!

Прикрепленные файлы:

•  route_print.txt   19,33К   32 Скачано раз

[YVS]

Еще я сбрасывал ветку Image File Execution Options в дефолт, но не знаю как проверить изменилась ли она относительно дефолта.

Экспортируйте ее и прикрепите в архиве

Прикрепил правильный файл route print!

В командной строке наберите:

route /f

и перезагрузитесь.

[torment]

ветку Image File Execution Options
Экспортируйте ее и прикрепите в архиве
- прикрепил

В командной строке наберите:
и перезагрузитесь.
-сделал

Прикрепленные файлы:

•  Image_File_Execution_Options.rar   4,11К   20 Скачано раз

[YVS]

В командной строке наберите:
и перезагрузитесь.
-сделал

Сайт drweb открывается?

ветку Image File Execution Options
Экспортируйте ее и прикрепите в архиве
- прикрепил

Все по старому

[torment]

Ура! Сайт drweb открывается

[YVS]

Ура! Сайт drweb открывается

Качайте CureIt!

[userr]

torment
в обычном режиме система так и не грузится?

[torment]

Userr
В обычном режиме система не грузится, я ведь вирус не вылечил.

YVS
А что толку мне качать cureit? Я его в очередной раз скачал (теперь с вашего оф. сата).
Но когда его запускаешь (как и другие проверяющие программы) зависает компьютер (см. первый пост).

[YVS]

torment
Попробуйте запустить бета-курит

[torment]

Скачал бета курит. Запустил его в защищенном режиме - итог тот же: появляется прямоугольник с логотипом доктор веба и компьютер зависает - ничего не меняется.

[Borka]

Скачал бета курит. Запустил его в защищенном режиме - итог тот же: появляется прямоугольник с логотипом доктор веба и компьютер зависает - ничего не меняется.

А если запустить КуреИт с ключом /shell - загрузится?

[torment]

Я правильно сделал?
Сделал ярлык, защел в -свойства -объект , дописываю в конце /shell.

В этом случае загружается серый экран защиты доктор веба, но все зависает даже до появления зеленого прямоугольника загрузки доктора веба.

[Borka]

Я правильно сделал?
Сделал ярлык, защел в -свойства -объект , дописываю в конце /shell.

Если сканеру, то да. Если КуреИту, то -sp/shell

В этом случае загружается серый экран защиты доктор веба, но все зависает даже до появления зеленого прямоугольника загрузки доктора веба.

Что такое "серый экран защиты"?

[torment]

Если сканеру, то да. Если КуреИту, то -sp/shell
- сделал запуск куреита с параметром -sp/shell, результат тот же: при появлении зеленого прямоугольника загрузки доктор веба компьютер зависает.


Что такое "серый экран защиты"?
- неправильно выразился, когда запускаешь доктор веб в защищенном режиме десктоп как бы темнеет и становится недоступны другие действия кроме проверки - вот это и есть "серый экран защиты".

[Borka]

Ищите возможность загрузки с внешнего носителя.