Братцы, выручайте!!!

Jun. 27th, 2011 10:34 am
[identity profile] krylo-ff.livejournal.com posting in [community profile] useful_faq
Каким-то образом в комп попала какая-то хрень (постоянно предохраняюсь!), называет себя MS Removal Tооl, не дает запустить ни один антивирь (кстати, при попытке написать ее название вырубила Оперу нахрен, пришлось мудрить с раскладкой), блокирует доступы ко всему, орет, что я весь в вирусах, типа, она самая крутая... Чем и как эта хрень лечится? Утилиты и ДрВеб и Каспер и Аваст есть, скачать-то она их дает, а вот запустить - хрена...
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2011-06-27 08:28 am (UTC)
From: [identity profile] laikalasse.livejournal.com
В безопасном режиме эта хрень тоже вылезает?

Я нашла инструкцию (http://deletemalware.blogspot.com/2011/03/how-to-remove-ms-removal-tool-uninstall.html), может, попробовать? У вас с английским как? Вкратце делать надо следующее:
- перезагрузиться в безопасном режиме с поддержкой сетевых подключений, нажав в время загружки F8,
- переименуйте скачанный Cure It в iexplore.exe и winlogon.exe, это должно обмануть вирусню,
- запустите утилиту с правами администратора.

Другой способ:
- скачать отсюда (http://docs.google.com/uc?id=0B7pJ7yI2AU6jMWZmNTAyNGEtZjc4YS00ZGY2LWFlZWMtYzI5ZTEzMGIwOTk0&export=download&hl=en) утилиту HijackThis (она специально переименована в iexplore.exe),
- запустить, нажать "Do a system scan only",
- найти в результатах скана:
Windows XP/2000:
O4 - HKCU\..\RunOnce: [fHrPqDaZcCg02547] C:\Documents and Settings\All Users\Application Data\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe
Windows Vista/7:
O4 - HKCU\..\RunOnce: [fHrPqDaZcCg02547] C:\ProgramData\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe
- зайти в C:\Documents and Settings\All Users\Application Data\ (Windows XP) или C:\ProgramData\ (Windows Vista/7). Выбрать все файлы с похожим названием на КУЧАЦИФР.exe и нажать на "Fix checked" в HijackThis. Закрыть HijackThis.

Файлы и ключи реестра:

Windows XP:

C:\Documents and Settings\All Users\Application Data\КУЧАЦИФР\КУЧАЦИФР.exe
C:\Documents and Settings\All Users\Application Data\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe

Windows Vista и Windows 7:

C:\ProgramData\КУЧАЦИФР]\КУЧАЦИФР.exe
C:\ProgramData\fHrPqDaZcCg02547\fHrPqDaZcCg02547.exe

В реестре найти и снести:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "КУЧАЦИФР"
Edited Date: 2011-06-27 08:31 am (UTC)

Date: 2011-06-27 08:36 am (UTC)
From: [identity profile] krylo-ff.livejournal.com
Увы, я в безопасный попасть не могу...

Date: 2011-06-27 08:45 am (UTC)
From: [identity profile] dr-lecter-jr.livejournal.com
При включении компа нажмите и удерживайте F8. К слову, можно попробовать опцию "Загрузка последней удачной конфигурации" (как-то так) в окне, которое вам покажут по F8.

Date: 2011-06-27 09:39 am (UTC)
From: [identity profile] laikalasse.livejournal.com
Попробуйте все это сделать в обычном.

Date: 2011-06-27 04:40 pm (UTC)
From: [identity profile] krylo-ff.livejournal.com
Сделал, нашел, вычистил... Опять, сцуко, вылез...

Date: 2011-06-27 01:23 pm (UTC)
From: [identity profile] krylo-ff.livejournal.com
А в реестр как влезть?

Date: 2011-06-27 01:29 pm (UTC)
From: [identity profile] laikalasse.livejournal.com
Пуск - Выполнить - regedit. Энтер.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only