Зачем было делать восстановление??? Нужно было запустить первую систему (внимание! Должно быть не меньше 4-5 гигов свободного места на этом локальном диске!), вставить диск с виндой и выбрать вариант установки "Обновление". Но, перед этим, удалить все проги для виртуальных дисков ( о чем я писал ранее) - ВСЁ!
По поводу "хвостов" от Неро: нужно почистить реестр! Есть программа типа РегКлинер. Помогает на 100%. Причем там есть функция ручной чистки элементов автозагрузки. Похоже - проблемы в этом . |
Зачем было делать восстановление??? Нужно было запустить первую систему (внимание! Должно быть не меньше 4-5 гигов свободного места на этом локальном диске!), вставить диск с виндой и выбрать вариант установки "Обновление". Но, перед этим, удалить все проги для виртуальных дисков ( о чем я писал ранее) - ВСЁ!
По поводу "хвостов" от Неро: нужно почистить реестр! Есть программа типа РегКлинер. Помогает на 100%. Причем там есть функция ручной чистки элементов автозагрузки. Похоже - проблемы в этом . |
Зачем было делать восстановление??? Нужно было запустить первую систему (внимание! Должно быть не меньше 4-5 гигов свободного места на этом локальном диске!), вставить диск с виндой и выбрать вариант установки "Обновление". Но, перед этим, удалить все проги для виртуальных дисков ( о чем я писал ранее) - ВСЁ!
По поводу "хвостов" от Неро: нужно почистить реестр! Есть программа типа РегКлинер. Помогает на 100%. Причем там есть функция ручной чистки элементов автозагрузки. Похоже - проблемы в этом . |
Обновил, как было посоветовано, некоторые проблемы исчезли (как то - отрытие диска С еще там ряд мелких), но основные остались: нету регедита, цмд, мсконфига и пр. Точнее все это есть и в корне ХР и в систем32, но есть двух видов, например: cmd и cmd.exe, так вот первое не работает, а второе работает. Из "Выполнить" пишет, что де "не могу найти указанный файл", и что мол "убедитесь в наличие оных файлов". Как их увидеть?
|
во первых чтоб загружала сарую версию, самый простой способ мой компьютер- свойства- дополнительно-загрузка и восстановление- параметры- выбираешь винду которая будет загружатся по умолчанию и снимаешь галку - отображать список операционных систем, лучше конечно в бутовую запись изменить, по поводу R, консоль восстановления должна была появится в любом случае просто навепное просмотрел, а можно по другому попробовать после проверки диска С где выбор разделов установки, винда предложит восстановить ранее установленную версию
|
Цитата:
Его ловит только Каспер со свежими базами... Сам с этой дрянью столкнулся... Вот, почитай про неё: его зовут runauto.. просто runauto с двумя точками передается через флешки. характерная примета — в корне каждого диска (жесктого, гибкого, съемного flash) имеются скрытые и системные файл autorun.inf и папка runauto... (видно только две точки, т.к. третья вопринимается как разделитель имени и расширения). Symantec называет его VBS.Runauto и вроде умеет лечить. Так же по рассказам делает Касперский. NOD32 и McAfee, по слухам, не лечат. паразит срет не по-детски. 1. подменяет собой lsass.exe и cmd.exe. 2. стирает также подменяет msconfig.exe и regedit.exe 3. имеет закадычного другана C:\WINDOWS\setuprs1.PIF, который прописывается в реестр как дебаггер для консоли настройки, редактора реестра и командной строки. 4. наверное, траффик гоняет, раз lsass.exe… таким образом: 1. перестают заводится (все подряд или в различных сочетаниях): msconfig.exe, cmd.exe, regedit.exe. 2. у народа наблюдались кракозябры с иероглифами в контекстном меню системного диска, вызванного правой кнопкой из Проводника. 3. народ жалуется на невозможность записи R- и RW-болванок. заражение происходит, естественно, в момент подключения флешки. папка runauto... не удаляется ни в штатном режиме, ни в безопасном режиме, ни из-под DOS. имеется мнение: потому что эти две системы не знают, что папки могут быть названы таким образом. избавление от вируса происходит следующим образом: 0. отключить восстановление системы (Пуск > Панель управления > Система > Восстановление системы > Поставить галку на «Отключить восстановление системы на всех дисках»). 1. удалить файлы autorun.inf из корня всех дисков. 2. удалить C:\WINDOWS\setuprs1.PIF. 3. в редакторе реестра (слава богу, у меня он завелся; на остальной случай — любой LiveCD, надо полагать) найти и удалить параметр "Debugger"=setuprs1.PIF. особенно искать здесь: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options а именно: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe и прочая. 4. из косоли (то же, что и в п. 3 — у меня видать не до конца заразилося) запустить: rd c:\runauto...\ /s /q, где «с» — буква диска. то есть запустить несколько раз, для каждого из дисков. наши жолтокожие соседи написали скрипт, который вычищает систему от засранца. но этот скрипт, естественно, весь в иероглифах (надо думать, в настоящих), так что единственная польза — посмотреть, чего надо чистить (и написать свой). да пребудет с нами со всеми Google. хотя он и не может найти англоговорящую нормальную версию этого скрипта. UPD 1 хрена лысого. эта сволочь так и осталась. восстанавливается. запускается как процесс lsass.exe — из директории WINDOWS. на самом-то деле приличный lsass запускается из WINDOWS\system32. в общем, маскируется, сцуко. так же плодит дубли под именами regedit.exe.exe и cmd.exe.exe. естественно, запускает эти программы под собственным контролем. то есть любые правки реестра возвращаются на место. hijackthis не помогает… UPD 2 несмотря на уверения Symantec'a — не видит нифига. а вот Dr.Web нашел сразу же. по ихнему он называется BackDoor.Kais. найти — нашел, но вылечить не смог :P зато на их форуме есть совсем железобетонные рекомендации по удалению: 1. Удалить все файлы autorun.inf в корне всех логических дисков. 2. В безопасном режиме сделать полную проверку всех логических дисков DrWeb 4.33.2 с последними базами. 3. Загрузиться с дискеты с DOS (если FAT32) или с дискеты с CIA Commander 1.0a (если NTFS) либо с дискеты с DOS с драйвером, дающим доступ к разделам NTFS. 4. Попытаться удалить папку runauto.. либо переименовать. 5. Загрузиться с CD с дистрибутивом Windows и установить поверх (режим восстановления). 6. После нормальной загрузки системы, задать полную проверку диска С: и перезагрузить компьютер. 7. После завершения проверки и нормальной загрузки, удалить папку (папки) с именами found.000 и так далее. 8. Для других (не системных) логических дисков потребуются аналогичные манипуляции (см. п.3, 4). Полная проверка происходит без перезагрузки. Далее п.7. 9. Для восстановления работоспособности таких программ, как: cmd.exe, regedit.exe, msconfig.exe и возможно какие другие, с помощью утилиты AVZ или любой другой сторонней программы, умеющей редактировать реестр, удалить следующий ключ(ключи) по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe Аналогично для cmd.exe, msconfig.exe и других (если есть проблемы). Кстати, для удаления других ключей, уже можно будет воспользоваться regedit.exe Проверь! Судя по симптомам - это твой случай! |
если описанное выше не поможет ... пишите исследуем систему .... все лечится и без проблем ...( проделано уже раз сорок)
|
Ant1B1otic
Да, это мой случай - все один к одному. V_Bond Спасибо за предложение, сначало сам попробую)))) Кстати, а как это понять))): " на остальной случай — любой LiveCD, надо полагать)"? И каким методом его нарезать? |
Цитата:
|
все проще .... и без сиди .... ;)
|
Часовой пояс GMT +4, время: 23:43. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.