C:\WINDOWS\system32\mdelk.exe
Зараженный объект: Email-Worm.Win32.Bagle.of
вот такая зараза, убить уже не могу дней 20-ть, антивирусы конечно не запускаются, только есть результаты проверки kaspersky on-line
C:\WINDOWS\system32\mdelk.exe
Зараженный объект: Email-Worm.Win32.Bagle.of
вот такая зараза, убить уже не могу дней 20-ть, антивирусы конечно не запускаются, только есть результаты проверки kaspersky on-line
Последний раз редактировалось ZerLu; 16.04.2008 в 14:36.
АВЗ то же не запускается?
Скачайте переименованный IceSword (его exe-файл в hockey.pif)
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Нет не из папки, а папку WINDOWS\system32\drivers\down
Неплохо бы как-нибудь и нам прислать по правилам копии удаляемых.
I am not young enough to know everything...
down именно так папка называется. Имя иногда немного другое если не понятно то уточните. Не удалите папку drivers случайно.
I am not young enough to know everything...
вот что у меня в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
Последний раз редактировалось ZerLu; 16.04.2008 в 14:36.
Именно так. Просто надо понимать, что ключ реестра это на самом деле не папка, а запись в системной базе данных, только и всего.
I am not young enough to know everything...
Уважаемый(ая) ZerLu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.