Братцы, выручайте!!!

Jun. 27th, 2011 10:34 am
[identity profile] krylo-ff.livejournal.com posting in [community profile] useful_faq
Каким-то образом в комп попала какая-то хрень (постоянно предохраняюсь!), называет себя MS Removal Tооl, не дает запустить ни один антивирь (кстати, при попытке написать ее название вырубила Оперу нахрен, пришлось мудрить с раскладкой), блокирует доступы ко всему, орет, что я весь в вирусах, типа, она самая крутая... Чем и как эта хрень лечится? Утилиты и ДрВеб и Каспер и Аваст есть, скачать-то она их дает, а вот запустить - хрена...
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2011-06-27 06:36 am (UTC)
From: [identity profile] prodam-prodam.livejournal.com
С загрузочного диска и чистить

Date: 2011-06-27 06:38 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Хороший совет, только вот диска под рукой нет...

Date: 2011-06-27 06:40 am (UTC)
From: [identity profile] prodam-prodam.livejournal.com
Облегченную винду кто мешает скачать?
live CD

Date: 2011-06-27 06:48 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Ссылкой не поделитесь? У меня просто система то и дело вылетает...

Date: 2011-06-27 07:14 am (UTC)
From: [identity profile] prodam-prodam.livejournal.com
откуда проще качать?
щас залью
там 300 метров с небольшим

Date: 2011-06-27 07:20 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Да все равно откуда.

Date: 2011-06-27 07:25 am (UTC)
From: [identity profile] prodam-prodam.livejournal.com
http://www.ex.ua/view/6980825?r=50911
реаниматор - 166 метров

http://filestore.com.ua/?d=3C2F8DBE5
лайв ХР
314 метров

http://www.ex.ua/view/7892061?r=28742,23781
сборка под флешку - гиг с копейками

Не вздумайте запускать дистрибутивы антивирусов с зараженной системы - они то же будут инфицированы. Первый запуск из-под оболочки

Date: 2011-06-27 07:39 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Что-то ни первая ни третья никак не качаются, в смысле, я их там не вижу. ЧЯДНТ?

Date: 2011-06-27 07:45 am (UTC)
From: [identity profile] prodam-prodam.livejournal.com
может только для украины.
Качайте вторую
а я пока попробую первую перезалить куда-то...

Date: 2011-06-27 08:01 am (UTC)
From: [identity profile] prodam-prodam.livejournal.com
все три ссылки один и тот же реаниматор
http://oron.com/9817r35rptg5/RLCd090511.rar.html
http://www.fayloobmennik.net/754163
http://turbobit.in.ua/sfhqoi9fhk38.html

Date: 2011-06-27 06:55 am (UTC)
From: [identity profile] blak-n-wait.livejournal.com
зайди в безопасном режиме, найти exe-файл с подозрительным длинным именем (в Documents and settings обычно, или в вашем пользователе, или в All users)

или

зайти в обычном режиме, быстро-быстро пока ничего не загрузилось вызывать диспетчер задач, в процессах быстро увидеть это же подозрительное кривое имя и прибить его - а потом найти и удалить файл

Date: 2011-06-27 07:03 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Первый вариант не получается, комп грузится быстро, да и не помню уже, какую кнопку жать (склероз, блин, ну путаю я безопасный с биосом), а второй вариант не прокатывает - он и диспетчер задач открыть не позволяет, жму КАД - а он только мигает... Самое обидное, что эта гадость там есть, а убить не могу...

Date: 2011-06-27 07:06 am (UTC)
From: [identity profile] blak-n-wait.livejournal.com
f8 при самом начале загрузки винды (до заставки) для входа в безопасный

в обычном - нажмите ctrl+alt+esc - сразу появится диспетчер задач
я успевал, недавно один комп так лечил

Date: 2011-06-27 07:08 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Спасибо, сейчас попробую.

Date: 2011-06-27 07:20 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Нихрена не получилось, комп не реагирует на эти вещи.

Date: 2011-06-27 07:58 am (UTC)
From: [identity profile] mun4uk.livejournal.com
на ф8 должен реагировать. может быть кнопки F вообще отключены?

Date: 2011-06-27 08:28 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
А как это понять? В обычное время работали, а сейчас - хз...

Date: 2011-06-27 08:31 am (UTC)
From: [identity profile] mun4uk.livejournal.com
вот ведь

Date: 2011-06-27 12:38 pm (UTC)
From: [identity profile] nickel3000.livejournal.com
только CTRL+SHIFT+ESCAPE

Date: 2011-06-27 12:59 pm (UTC)
From: [identity profile] blak-n-wait.livejournal.com
точно, спутал

Date: 2011-06-27 08:28 am (UTC)
From: [identity profile] laikalasse.livejournal.com
В безопасном режиме эта хрень тоже вылезает?

Я нашла инструкцию (http://deletemalware.blogspot.com/2011/03/how-to-remove-ms-removal-tool-uninstall.html), может, попробовать? У вас с английским как? Вкратце делать надо следующее:
- перезагрузиться в безопасном режиме с поддержкой сетевых подключений, нажав в время загружки F8,
- переименуйте скачанный Cure It в iexplore.exe и winlogon.exe, это должно обмануть вирусню,
- запустите утилиту с правами администратора.

Другой способ:
- скачать отсюда (http://docs.google.com/uc?id=0B7pJ7yI2AU6jMWZmNTAyNGEtZjc4YS00ZGY2LWFlZWMtYzI5ZTEzMGIwOTk0&export=download&hl=en) утилиту HijackThis (она специально переименована в iexplore.exe),
- запустить, нажать "Do a system scan only",
- найти в результатах скана:
Windows XP/2000:
O4 - HKCU\..\RunOnce: [fHrPqDaZcCg02547] C:\Documents and Settings\All Users\Application Data\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe
Windows Vista/7:
O4 - HKCU\..\RunOnce: [fHrPqDaZcCg02547] C:\ProgramData\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe
- зайти в C:\Documents and Settings\All Users\Application Data\ (Windows XP) или C:\ProgramData\ (Windows Vista/7). Выбрать все файлы с похожим названием на КУЧАЦИФР.exe и нажать на "Fix checked" в HijackThis. Закрыть HijackThis.

Файлы и ключи реестра:

Windows XP:

C:\Documents and Settings\All Users\Application Data\КУЧАЦИФР\КУЧАЦИФР.exe
C:\Documents and Settings\All Users\Application Data\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe

Windows Vista и Windows 7:

C:\ProgramData\КУЧАЦИФР]\КУЧАЦИФР.exe
C:\ProgramData\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe

В реестре найти и снести:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "КУЧАЦИФР"
Edited Date: 2011-06-27 08:31 am (UTC)

Date: 2011-06-27 08:36 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Увы, я в безопасный попасть не могу...

Date: 2011-06-27 08:45 am (UTC)
From: [identity profile] dr-lecter-jr.livejournal.com
При включении компа нажмите и удерживайте F8. К слову, можно попробовать опцию "Загрузка последней удачной конфигурации" (как-то так) в окне, которое вам покажут по F8.

Date: 2011-06-27 09:39 am (UTC)
From: [identity profile] laikalasse.livejournal.com
Попробуйте все это сделать в обычном.

Date: 2011-06-27 04:40 pm (UTC)
From: [identity profile] krylo-ff.livejournal.com
Сделал, нашел, вычистил... Опять, сцуко, вылез...

Date: 2011-06-27 01:23 pm (UTC)
From: [identity profile] krylo-ff.livejournal.com
А в реестр как влезть?

Date: 2011-06-27 01:29 pm (UTC)
From: [identity profile] laikalasse.livejournal.com
Пуск - Выполнить - regedit. Энтер.

Date: 2011-06-28 02:55 am (UTC)
From: [identity profile] heleknar.livejournal.com
http://www.spyware-ru.com/ms-removal-tool/
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only