суббота, 27 сентября 2008
16:31

все записи пользователя в сообществе Ангел счастья
модрич-узурпатор
[ok]

Приветствую.

Как вы думаете, чем это может быть?



Запускается при каждом запуске системы. Ни Нод32, ни Каспер его как вирус не определяет. Ярлычок автозагрузки ведет на файл в папке систем32: C:\WINDOWS\system32\XP-67CA8F80.EXE. Такого файла, однако, в этой папке нет. Из автозагрузки удаляю - опять появляется при перезагрузке компа.
Хэлп =)

@темы: Вирусы spyware и adware

URL
Комментарии
30.09.2008 в 13:54

Enkryptor
ну, из запущенных процессов он действительно исчез, то есть в данный момент он не работает но остался в автозагрузке, причём даже в двух местах

если в проводнике в строке адреса напишешь C:\WINDOWS\system32\XP-67CA8F80.EXE и нажмёшь ентер - что произойдёт?
URL
30.09.2008 в 13:56

Ангел счастья
модрич-узурпатор
ничего.
URL
30.09.2008 в 14:50

Enkryptor
А должно появляться сообщение "нет такого файла".

Значит, файл всё же есть и он успешно запустился при указании его имени. Стало быть, надо:
1. снова закрыть его из "диспетчера задач"
2. удалить сам файл из папки system32 (он может иметь аттрибуты "скрытый" и "системный"). если не видишь его в Проводнике, его можно удалить через командную строку
3. удалить ярлык из автозагрузки
4. удалить параметр автозапуска из реестра
5. перезагрузить компьютер

После этого глюк должен пропасть.
URL
30.09.2008 в 15:32

Ангел счастья
модрич-узурпатор
Enkryptor , что в командной строке ввести?
URL
30.09.2008 в 16:31

Enkryptor
del C:\WINDOWS\system32\XP-67CA8F80.EXE

только это надо вводить не в пуск->выполнить, а собственно в командной строке (cmd)
URL
30.09.2008 в 17:02

Ангел счастья
модрич-узурпатор
Enkryptor , понимаю.
Попробую чуть позже, отпишусь потом
URL
02.10.2008 в 12:28

Enkryptor
Получилось?
URL
04.10.2008 в 14:01

Ангел счастья
модрич-узурпатор
пишет: "не удается найти файл"
URL
09.10.2008 в 17:30

Enkryptor
Покажи пожалуйста скриншот этого сообщения.
URL
09.10.2008 в 18:06

Ангел счастья
модрич-узурпатор

URL
09.10.2008 в 18:10

Enkryptor
Это потому что у файла стоит аттрибут "системный". Выполни вот эти команды:
attrib -h -s C:\WINDOWS\system32\XP-67CA8F80.EXE
del C:\WINDOWS\system32\XP-67CA8F80.EXE
URL
09.10.2008 в 19:05

Ангел счастья
модрич-узурпатор
отказано в доступе
URL
09.10.2008 в 19:18

Enkryptor
смотрим что я написал выше:
1. снова закрыть его из "диспетчера задач"
2. удалить сам файл из папки system32 (он может иметь аттрибуты "скрытый" и "системный"). если не видишь его в Проводнике, его можно удалить через командную строку
3. удалить ярлык из автозагрузки
4. удалить параметр автозапуска из реестра
5. перезагрузить компьютер

видимо ты пропустила первый пункт. Удалить файл работающей программы, действительно, нельзя

и ещё на всякий случай (сэкономим время) добавь в аттриб ключ -r :
attrib -h -s -r C:\WINDOWS\system32\XP-67CA8F80.EXE
URL
09.10.2008 в 19:57

Ангел счастья
модрич-узурпатор
Enkryptor , ничего я не пропускала. В диспетчере задач в списке выполняемых процессов его нет.


удалить параметр автозапуска из реестра - это через regedit? или через msconfig?
если первое - что удалять?
URL
09.10.2008 в 20:02

Enkryptor
первое - закрыть его из "диспетчера задач"

выполнено? закрой и покажи тут лог HijackThis
URL
09.10.2008 в 20:24

Enkryptor
и потом главное саму экзешку удалить. Если даже после этого останется запись в автозапуске - уже не страшно
URL
09.10.2008 в 20:56

Ангел счастья
модрич-узурпатор
Enkryptor , а экзешка удалилась без проблем. ) после вот этого:

attrib -h -s -r C:\WINDOWS\system32\XP-67CA8F80.EXE
del C:\WINDOWS\system32\XP-67CA8F80.EXE

это все, что надо сделать?
URL
10.10.2008 в 05:06

--==SS==--
Sanctus Satanas
Ангел счастья
По видимому да. Что касается автозагрузки, то вам нужно открыть regedit и удалить ключ с названием XP-67CA8F80, находящийся в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, а также удалить ярлык в меню Пуск->Программы->Автозагрузка.
URL
10.10.2008 в 11:47

Enkryptor
Проверь самостоятельно, перезагрузив компьютер и посмотрев, вылезет ли снова вышеупомянутое сообщение -

URL
10.10.2008 в 15:48

Ангел счастья
модрич-узурпатор
все норм ) ничего не вылазит ))
спасибо большое все, кто помог )))
URL