Вирус "resetservice.exe"

[Goldenboy]

Всем доброго времени суток.

У меня проблема с вирусом "resetservice.exe" который постоянно перезагружает комп. Каспер пишет что нашел и удалил этот вирус и автоматом запускает "Лечение активных угроз" и по его завершению автоматом перезагружает компьютер. Кроме этого когда стоит окно для ввода пароля и логина пользователя (комп в домене) он сам по себе перезагружает. Помогите избавится от этого вируса. Жду ответов стражей ЛК.

[Kapral]

логи в студию

[Falcon]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Goldenboy]

переустановил винду вроде пока что не появляется. в случае повтора выложу логи

[iradov]

Goldenboy

Разве это вирус? ИМХО это дань от Касперского Мелкомягким на алтарь борьбы с пиратством или скорее даже продвижения в массы Вислы. resetservice.exe это часть от одной из первых сбросов активации ХРюшки.

[Goldenboy]

Разве это вирус? ИМХО это дань от Касперского Мелкомягким на алтарь борьбы с пиратством или скорее даже продвижения в массы Вислы. resetservice.exe это часть от одной из первых сбросов активации ХРюшки.

 

кто не будь переведите плз!

[antispy]

ну как Вам сказать. Это кряк Виндоус, что бы не просиал активации, т.е. используйте лицензионную ОС и Антивирус успокоится.

[C. Tantin]

Для пущей надёжности выложите вердикт антивируса на этот файл (resetservice.exe).

 

А так он похож на файл службы, создаваемый кряком (средством обхода активации) к Windows XP без сервиспаков.

[Goldenboy]

Для пущей надёжности выложите вердикт антивируса на этот файл (resetservice.exe).

Если не трудно выложите как это сделать.

[iradov]

кто не будь переведите плз!

resetservice.exe is a process belonging to the Windows XP Activation Hack tool which compromises Windows XP's (and later) licensing scheme allowing for software piracy. This is an illegal process which contravenes International software law and should be terminated immediately.

 

Лишь по этой причине resetservice причислен к лику вирусов. Крэк этот существует уже не один год, но Каспер на него стал ругаться именно сейчас. Почему? Не иначе как в угоду Майкрософту и компании по борьбе с пиратством.

Непонятно зачем было народ пугать грозным именем Trojan.Win32.Agent. Не нужно путать американскую действительность с нашей реальностью. У нас не редко прибегают к крэку ХР даже при наличии лицензии. Ну, нет еще повсеместно интернета.

[C. Tantin]

Если не трудно выложите как это сделать.

Скриншот или кусок отчёта при обнаружении вируса в этом файле, т.е. как антивирус обзывает заражённый файл. Изменено 25 ноября, 2008 пользователем C. Tantin

[Goldenboy]

Логов и скрина нету. Я перевешал ОС. Если проблема возникнет снова выложу отчет. Спасибо всем за отзыв.

Изменено 25 ноября, 2008 пользователем Goldenboy

[C. Tantin]

Всегда пожалуйста. Просто по имени файла - это кряк к Винде, но может быть и самый настоящий зловред с таким же именем файла.

[iradov]

Скриншот

 

Вот нашел сегодня у себя одну "непролеченную" машинку и сделал скрин.

 

Но эта "проблема" не принадлежит парафии антивирусов. Если кого-то смущает этот файл и он хочет отказаться от старого крэка ХР, то этот процесс нужно возлагать не на Каспера, а самому немножко поработать ручками.

Создать два файла Uninstall.cmd и Uninstall.reg

 

Uninstall.cmd следующего содержания:

@echo off
@pause
@del /S /F /Q %SYSTEMROOT%\reset5.*
@del /S /F /Q %SYSTEMROOT%\System32\reset5.*
@del /S /F /Q %SYSTEMROOT%\System32\REGOBJ.DLL
@del /S /F /Q %SYSTEMROOT%\System32\resetservice.exe
@del /S /F /Q %SYSTEMROOT%\System32\srvany.exe
@del /S /F /Q %SYSTEMROOT%\System32\resetwpa.reg
@del /S /F /Q /A:H %SYSTEMROOT%\System32\resetwpa.reg.LOG
@regedit /s Uninstall.reg
@copy /Y %SYSTEMROOT%\System32\dllcache\wpabaln.exe %SYSTEMROOT%\System32\
@regsvr32.exe /s licwmi.dll
@regsvr32.exe /s regwizc.dll
@regsvr32.exe /s licdll.dll
@echo All Done.
@echo on
@pause

 

Uninstall.reg следующего содержания:

 

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Reset 5]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5]
[-HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\L$RTMTIMEBOMB_1320153D-8DA3-4e8e-B27B-0D888223A588]

 

Загрузитесь комп в Безопасном режиме и запустить Uninstall.cmd. Он сотрет все файлы относящиеся к крэку и уберет ключи из реестра. Единственное, после перезагрузки, ручками нужно будет удалить Windows\System32\reset5.dll.

 

После этого ХР нужно будет либо активировать в соответствии с задумкой БГ, либо... воспользоваться более свежим крэком

Изменено 26 ноября, 2008 пользователем iradov

[Goldenboy]

спасибо за совет но вроде устранил проблемку )