Virus SYSTEM RESTORE ми блокира тотално компа- help

[mirkata]

Да , това съм го направил , само не бях махнал чавката на Hide protected operation system files (Recommended) .

Но лошото е че нямам никакви активни програми в старт меню/алл програмс. Как ли не опитвах , ама не ги виждам .

Май върви на преинсталация . Аз вече цяла седмица се мъча .

Очаквам сега и Night_Raven да даде указания , за видя дали може да се поправи това или пристъпвам към преинсталация ако няма решение. То в това положение този компютър не върши никаква работа.

Колкото до това от къде съм го набарал този вирус ,ами не знам , това е компа на сина и той влиза в сайтове , дето аз пък не влизам

[B-boy/StyLe/]

Не стартирайте Combofix по няколко пъти подред без да сте инструктирани затова. Това не е играчка и може сериозно да съсипе Windows-a.

Както и не рестартирайте грубо машината по време на неговото сканиране.

Проверете за лог файл в C:\Combofix.txt или в C:\Qoobox\ папката.

Ако няма такъв файл потърсете за файл с името - C:\Qoobox\ComboFix-quarantined-files.txt и го публикувайте в следващия си пост.

След това изчакайте включването на Night_Raven и не предприемайте нищо на своя глава...това може да попречи на почистващия процес.

 

Поздрави.

[mirkata]

Както съм писал в по предни постове , лог на ComboFix нямам .Причината е че когато пусна програмата да сканира , макар че изпълнявам стриктно указанията , компа зацикля и след 40-50 минути я спирам , защото виждам че не сканира. .Май се престарах да я пусна три пъти последователно . защото нямаше резултат и това ме заблуди .

Накрая ми дава следното съобщение

http://postimage.org/image/d60jmax9j/

и аз разбирам за сетен път , че системата ми е така поразена и губя вече вяра че може да се оправи .

Дано Night_Raven или някой друг предложи адекватно решение на моя проблем .

[Night_Raven]

Провери ли в папките, които B-boy/StyLe/ спомена, дали има някакъв лог файл?

[mirkata]

Провери ли в папките, които B-boy/StyLe/ спомена, дали има някакъв лог файл?

 

Да , основна ревизия на компа , всичко е проверено , няма лог в нито една от споменатите папки , даже някои липсват . Проверих в старт меню / сиърч , няма и няма .

[Night_Raven]

А намираш ли текстов файл Bug в C:\ или някоя от гореспоменатите папки?

[mirkata]

Снощи компа бе изключен нормално със забележките , които съм описал .

Сега отивам , пускам и се появява следното съобщение :

 

NTLDR is missing , Press Ctl+alt+del for start

ама не става и не става , и от ден на ден по лошо .

[Night_Raven]

Обикновено избягвам да съветвам да се преинсталира, но в случая мисля, че ще се окаже по-бързото и ползотворно решение. Така че... преинсталирай с форматране и след преинсталацията веднага инсталирай антивирусна, актуализирай й дефинициите и сканирай останалите дялове. Също така можеш да пуснеш и пълно сканиране с Malwarebytes' Anti-Malware за всеки случай.

[mirkata]

Night_Raven благодаря много за усилията да ми помогнеш . Оценявам помощта ти и аз и многото други потребители на които , както виждам , че си помогнал.

Лошото при мене е че гадината е неконтролируема и не можахме да я смачкаме окончателно .Добре че имам два компютъра , че можех да кореспондирам , когато заразения не е ред .

Започвам с преинсталацията .

Мисля че темата приключи за мен .

[paro]

За сега открих това в Интернет пространството http://trojan-killer...lete/#more-4513 Не съм го разгледал подробно, може да помогне.

И това също http://www.bleepingcomputer.com/virus-removal/remove-windows-restore

[paro]

Здравейте! Споделям своя опит от борбата си с вируса System restore. Не съм използвал никакви програми, само следвах указанията за изтриване на файловете и ключовете в регистъра, в препратките от по-горния ми пост. В резултат вирусът е изчистен нацяло и компютърът възвърна предишната си работоспособност.

 

Ето и стъпките:

 

1. Отворете Windows Explorer чрез използване на комбинацията от клавиши win+E. От менюто Tools ---> Folder Options..., отворете табчето View и сложете отметка пред Show hidden files and folders, за да направите видими скритите файлове и папки.

 

2. Отворете Control Panel и стартирайте аплета System. В табчето System Restore сложете отметка пред Turn off Sysytem Restore on all drives. С това се премахват всички точки за възстановяване на системата.

 

3. Изтриват се файловете и ключовете от регистъра, оставени от вируса:

 

За Windows XP:

%LocalAppData%\

%LocalAppData%\.exe

%LocalAppData%\~

%StartMenu%\Programs\System Restore\

%StartMenu%\Programs\System Restore\System Restore.lnk

%StartMenu%\Programs\System Restore\Uninstall System Restore.lnk

%Temp%\internetexplorerupdate.exe

%Temp%\~

%AllUsersProfile%\Application Data\~<random>

%AllUsersProfile%\Application Data\~<random>r

%AllUsersProfile%\Application Data\<random>.dll

%AllUsersProfile%\Application Data\<random>.exe

%UserProfile%\Desktop\System Restore.lnk

%UserProfile%\Desktop\System Restore\

%UserProfile%\Start Menu\Programs\System Restore\

%UserProfile%\Start Menu\Programs\System Restore\System Restore.lnk

%UserProfile%\Start Menu\Programs\System Restore\Uninstall System Restore.lnk

 

File Location Notes:

 

%UserProfile% refers to the current user's profile folder. By default, this is C:\Documents and Settings\<Current User=""> for Windows 2000/XP, C:\Users\<Current User=""> for Windows Vista/7, and c:\winnt\profiles\<Current User=""> for Windows NT.

 

%Temp% refers to the Windows Temp folder. By default, this is C:\Windows\Temp for Windows 2000/XP, and C:\Users\<Current User="">\AppData\Local\Temp for Windows Vista and Windows 7.

 

%AllUsersProfile% refers to the All Users Profile folder. By default, this is C:\Documents and Settings\All Users for Windows 2000/XP and C:\ProgramData\ for Windows Vista/7.

 

3.1 Изтриване на записи, поставени от вируса System Restore в системния регистър:

 

Start ---> Run, пишете Regedit и натискате бутона OK:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'Yes'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "CertificateRevocation" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop "NoChangingWallPaper" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" =

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDesktop" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ".exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ""

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ".exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ""

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ".exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ""

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ".exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "DisableTaskMgr" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ShowSuperHidden" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU "MRUList"

 

Точка 3 съм я копирал от препратките в по-горния ми пост, там има указания за Vista и Windows 7. Ако желаете може да работите директно от препратките.

 

4. Рестартирате системата и 98% от нещата трябва да са както обикновено.

 

При мен в Start ---> Programs, в някои от групите на програмите нямаше нищо, но не е трудно да се възстановят нещата. След рестарта черният екран остава, но слагането на нов тапет вече е детска играчка.

 

Забележка: Бъдете много внимателни при работата с регистъра и изтривайте единствено и само това, което е посочено по-горе. В противен случай можете да направите системата си неработоспособна!

Ако не разбирате какво правите или не знаете какво точно да изтриете, по-добре помолете някой, който е работил с регистъра и наистина знае какво прави.

 

Успехи и дано не ви се случва да се занимавате с този вирус!

[mirkata]

Преинсталирах , сега всичко е наред , нямам проблеми . Разни програми , които почти не използвах и се колебаех да ги деинсталирам , сега ги няма .

[paro]

Здравей mirkata! Съжалявам, че трябваше да стигнеш до преинсталация, но както са казали старите хора: "Всяко зло за добро"!

Успехи!

[mirkata]

Здравей mirkata! Съжалявам, че трябваше да стигнеш до преинсталация, но както са казали старите хора: "Всяко зло за добро"!

Успехи!

 

harhal , здравей . Ами оправих се бързо . Бубата се беше лошо барикадирала и даже тежката артилерия Night_Raven , накрая каза , че е време да преинсталирам . Преинсталацията по- малко ме притесни , отколкото да занимавам сума ти хора тук във форума с моите проблеми , както и да е , всичко сега е о кей .

поздрави