Že by virus?

Konečně Roguekiller ho detekoval jako jediný, bohužel ale nejde smazat, jak se té havěti zbavit?

RogueKiller V8.5.0 [Feb 9 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/file/413-rogu ekiller/
Webové stránky : roguekiller.php
: tigzyrk.blogspot.com

Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : user [Práva správce]
Mód : Kontrola -- Datum : 03/04/2013 18:34:45
| ARK || FAK || MBR |

¤¤¤ Škodlivé procesy: : 0 ¤¤¤

¤¤¤ ¤¤¤ Záznamy Registrů: : 3 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Itheziho ("C:\Documents and Settings\user\Data aplikací\Fenu\tuer.exe") -> NALEZENO
[RUN][SUSP PATH] HKUS\S-1-5-21-117609710-1592454029-839522115-1003[ ...]\Run : Itheziho ("C:\Documents and Settings\user\Data aplikací\Fenu\tuer.exe") -> NALEZENO
[PROXY IE] HKLM\[...]\Internet Settings : ProxyServer () -> NALEZENO

na takové věci spouštím antivirové boot cd

ale když víš kde leží, můžeš zkusit i nouzový režím.

no a kdyz si stahnu ty boot cd oc s tim potom?

takže jednodušší bude ten nouzový režim:
kromě smazání celého adresáře "C:\Documents and Settings\user\Data aplikací\Fenu\"
můžeš smazat záznam v registrech:

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Itheziho /f

kontrola:

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

a zkontroluj nastavení proxy: ovládací panely - internet - připojení

pokud by to bylo příliš složité, vytáhni disk ven, přidej do jiného pc jako druhý disk, tam ho odviruj.
po vrácení zpět si nastav omezený účet, jinak se za chvíli zaviruješ zas.

ok jsem v nouzovém režimu, smažu tedkom ten soubor

ale jak smazu ten zaznam v registrech? to nejdu kde?

pokud by to bylo příliš složité, vytáhni disk ven, přidej do jiného pc jako druhý disk, tam ho odviruj.

kaspersky av cd:
zvolit kaspersky rescue disk - zatrhneš boot sector + hidden + c:

nacetl jsem to pomoci ISA, ale zadny spousteci soubor tam neni

OMG musis to vypalit a NABOOTOVAT z toho CD. To je prave zmysel toho ze to je v .iso, a zmysel pri odvirovavani viru ktory aktivne svoje subory furt obnovuje ked bezi

no jo jenze ja na tom PC nemam CDromku, uz tam na ni neni volna pripojka.

Je jeste nejaka jina moznost?

proto bootovací cd, protože běží vlastní systém bez přítomnosti tvých virů.
tady netrénujeme soutěž ve čtení .iso formátu, ale máš BOOTOVAT.
samozřejmě ten kaspersky (i ostatní výrobci av boot cd) umí bootovací flashku, dohledej si u nich odkazy.

nebo odvirovat v jiném pc.

nebo si pučit usb cdrom.

nebo to konečně zvládnout v nouzovém režimu.

ten screen s ikonou "kaspersky rescue disk" jsi skutečně neviděl? nechceš to někomu nechat?

mazání v registrech:
když spustíš regedit - je ve větvích:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

nastaveno spuštění viru:
C:\Documents and Settings\user\Data aplikací\Fenu\tuer.exe ?
teoreticky je možné že ty položky tam jsou, ale virus ti sebral právo zápisu (=mazání).

místo regedit.exe jde na zákaz spouštění použít elegantnější program codestuff starter, nebo ms autoruns.

Nějakým zázrakem se mi to podařilo odstranit. PC se zrychlilo, stránky na netu načítaj rychle, dostanu se i na weby antiviráků...

Jediný problém, že když spustím msconfig, stále je tam při spouštění windows (viz prvotní obrázek ve vlákně)

Když už ten soubor není na disku, tak ten řádek v msconfig můžeš smazat, ne?

Jak ho smažu?

správně píšeš, že je tam nejspíš už bezcenný spouštěcí záznam - samotný vir už je nejspíš odstraněn.
už jsem uvedl starter nebo autoruns, které ti záznam vypnou nebo vymažou.
stejně tak jde vymazat přímo v registrech, zvol postup který se ti líbí víc.
jde zrušit odfajfkování i v msconfig.exe.

soubor jsem smazal

v tech registrech ho to nenaslo

ale kdyz sem pak zadal kontrolu tak tam porad je

tuer-exe.html

RegUtility_Setup.exe