Невозможно отобразить / удалить запись реестра, установленную вредоносной программой

Question

У меня есть запись в реестре со странными символами:

"C:\Program Files (x86)\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\   \...\‮ﯹ๛\{a33ad396-dacb-512c-46ab-10675be7c6b5}\GoogleUpdate.exe" <

"C:\Users\Bart\AppData\Local\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\dxÙ\" h\.ù[\{a33ad396-dacb-512c-46ab-10675be7c6b5}\GoogleUpdate.exe" >

C:\Users\Bart\AppData\Local\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\❤≸⋙\Ⱒ☠⍨\‮ﯹ๛\{a33ad396-dacb-512c-46ab-10675be7c6b5}\L

Это все об этих двух персонажах: ﯹ ๛

(Попробуйте скопировать это в Блокнот и посмотрите, что получится)

Все, что вы вводите за этим персонажем, идет справа налево.

Regedit не может прочитать это значение и выдает эту ошибку: error reading the value's contents при открытии подраздела « Run . Вот почему я не могу удалить эту запись вообще.

Я почти уверен, что это вредоносная программа ZeroAccess.

Что тут происходит?

Answer 1

Вы не можете изменить его, потому что он имеет значение reg_none, и вам понадобится встроенный редактор реестра, чтобы загрузить ульи, а затем удалить их оттуда. Тем не менее, вы можете удалить весь ключ запуска, и все будет в порядке. Вы можете найти более подробную информацию о рутките здесь http://www.virusresearch.org/zeroaccess-botnet-crippled-but-not-dead/

Answer 2

Не уверен, что это Marlware, но использовать RegAssassin, он должен иметь возможность удалить любой раздел реестра.

http://www.malwarebytes.org/products/regassassin/

Что касается самого вируса, установите пробную версию Kaspersky Internet Security (мое любимое и одно из самых мощных антивирусных программ) и запустите сканирование.

Answer 3

У Kaspersky есть бесплатный инструмент для удаления Rootkit Remover, который называется TDSSKiller, который включает в себя удаление руткитов ZeroAccess (это то, что у вас есть, я могу сказать, подписав обратные алфавитные папки Unicode в Google/Desktop/Install).

http://support.kaspersky.com/us/5350

Кроме того, инструмент http://www.GMER.net позволит вам удалить эти записи реестра.