Ойра

Симптомы: блокирует запуск почти всех приложений, абсолютно любую установку и все диспетчеры задач
Что сделали: С сайта каспера разблокировка не работает. Скачали AVZ. Распокавали. Когда захожу в папку с AVZ - ребут.

snifer67

Есть возможность найти и скачать Live CD с возможностью просмотра и правки реестра, например, ERD Commander?

01pump

Ойра,

Вот тут http://pchelpforum.ru/f26/t6442/#post69244 LiveCD Скачайте и сделайте внем такие логи http://pchelpforum.ru/f26/t6442/#post229780 Только запускать hijackthis из-под удаленного реестра как написано в первой ссылке.

vetal747

У меня точно такая же проблема как и у Ойра вот мой лог http://exfile.ru/102425

01pump

vetal747,

Вы этот лог из под LiveCD сделали чтоли?

vetal747

Да. Вы ведь так просили.
З.Ы. При запуске AVZ из под винды компьютер выключается

winshelp

vetal747
Пробуем вот это.
Скачайте IceSword.(Ледяной меч).
http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Распакуйте архив. Запустите программу.
В окне программы слева кликните по вкладке "Registry".
В окне программы слева пройдите по этому пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Откройте ветку реестра - AppInit_DLLs
AppInit_DLLs - Содержимое этого параметра напишите в своем сообщении !!!

01pump

vetal747,

AVZ я пока не просил запускать А логи портабельным Hijack попробуйте сделать в обычной винде.

Кстати в удаленном реестре (с помощью LiveCD гляньте ) в этом ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
у параметра AppInit_DLLs какое прописано значение ?

vetal747

у параметра AppInit_DLLs значение wbsys.dll
Логи в обычной винде:http://exfile.ru/102436
http://exfile.ru/102437

01pump

vetal747,

Каким LiveCD пользовались? Как в реестр вашей винды попали?
То что вы написали значение wbsys.dll Оно является неверным!!!
Вот это значение C:\WINDOWS\system32\esqro.dll Прописано в вашей винде.
Этот файл надо удалить и удалить значение в этом параметре AppInit_DLLs

vetal747

Какой то Lex LiveCD качал его уже давно.

При помощи IceSword зашел в реестр, там в параметре AppInit_DLLs действительно было значение C:\WINDOWS\system32\esqro.dll, но по ошибке удалил не значение, а сам параметр AppInit_DLLs
после пытался найти файл esqro.dll, но не нашел его. Перезагрузил винду и ничего не изменилось(дисмпетчер задач не доступен, половина программ не открывается)

Сам информер pornhub.com, появляется по непонятно какому алгоритму, т.е. при загрузке винды его нет, но может появится при попытке запуска какой нибудь программы. При помощи программки PROWiSe Manager(диспетчер задач), вычислил файл запуска этого информера это rundll32.exe, при удалении его из реестра информер закрывается.

Спасибо Вам за помощь, удастся что нибудь сделать или придется форматировать диск?

Добавление:

Зашел в реестр значение параметра AppInit_DLLs теперь C:\WINDOWS\system32\12520850.cpx:exaSnrGYA9hVcDgMC XpM

01pump

vetal747,
Тут http://pchelpforum.ru/f26/t6442/#post69244 скачайте LiveCD и по инструкции попав в реестр скорректируйте его создав нужный Строковый параметр AppInit_DLLs с пустым значением (если вы его действительно удалили )
Заодно удалите файл C:\WINDOWS\system32\esqro.dll включив отображение скрытых файлов.

Затем выполните логи в avz и Hijackthis согласно инструкции http://pchelpforum.ru/f26/t6442/#post37758

winshelp

vetal747, лог AVZ выложите - не с Лайф сд, а нормально сканирование системы!!!

01pump

Чую что самолечение закончиться форматированием .... а так же убитым временем

vetal747

я не такой нуб как вы думаете. Этого файла в системе нет

Значение параметра AppInit_DLLs опять изменилось теперь это C:\WINDOWS\Inf\oem126.inf:exaSnrGYA9hVcDgMCXpM
Вот новые логи Hijackthis http://exfile.ru/102474
http://exfile.ru/102475
Запуск AVZ из системы попрежнему приводит к выключению компьютера

За те пол дня которые потрачены на этот вирус, я бы уже отформатировал винт и переустановил все программы. Но где наша не пропадала будем сражаться до конца

З.Ы. Скоро начнется футбол, качать свежий LiveCD буду завтра. Еще раз спасибо