Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 63.

C:\WINDOWS\system32\mdelk.exe Зараженный объект: Email-Worm.Win32.Bagle.of (заявка № 21586)

  1. #1
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59

    Thumbs up C:\WINDOWS\system32\mdelk.exe Зараженный объект: Email-Worm.Win32.Bagle.of

    C:\WINDOWS\system32\mdelk.exe
    Зараженный объект: Email-Worm.Win32.Bagle.of

    вот такая зараза, убить уже не могу дней 20-ть, антивирусы конечно не запускаются, только есть результаты проверки kaspersky on-line
    Последний раз редактировалось ZerLu; 16.04.2008 в 14:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523

  4. #3
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    Цитата Сообщение от V_Bond Посмотреть сообщение
    что такое, я читал

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    АВЗ то же не запускается?

  6. #5
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    АВЗ то же не запускается?
    да, да, да ни АЗВ, ни Доктор, удалить через Анлокер не получается (пользовался и аналогом)

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте переименованный IceSword (его exe-файл в hockey.pif)
    Запустите его, зайдите слева в меню "Processes"
    Выберите:
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    И если есть windows\system32\mdelk.exe
    Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

    Потом внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe

    Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
    если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

    Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
    параметр называется "drvsyskit", удалите его.

    Найдите параметр
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
    параметр называется "german.exe", удалите его.

    Посмотрите, есть ли ключ реестра
    HKEY_CURRENT_USER\Software\FirstRRRun
    Если есть, удалите ключ FirstRRRun.

    Посмотрите, есть ли ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    Если есть, удалите в них ключ srosa.
    Перезагрузите компьютер.

  8. #7
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение

    Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
    если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

    Не понятно, удалять надо было оттуда из DOWN папки???

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Нет не из папки, а папку WINDOWS\system32\drivers\down

  10. #9
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Нет не из папки, а папку WINDOWS\system32\drivers\down
    понял всю папку...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Неплохо бы как-нибудь и нам прислать по правилам копии удаляемых.
    I am not young enough to know everything...

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    down именно так папка называется. Имя иногда немного другое если не понятно то уточните. Не удалите папку drivers случайно.

  13. #12
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение

    Посмотрите, есть ли ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    Если есть, удалите в них ключ srosa.
    Перезагрузите компьютер.
    Снова не понятно SROSA удалять всю папку???

    Цитата Сообщение от Bratez Посмотреть сообщение
    Неплохо бы как-нибудь и нам прислать по правилам копии удаляемых.
    Bratez что именно??? и как

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от ZerLu Посмотреть сообщение
    Снова не понятно SROSA удалять всю папку???
    Да, в реестре понятие "ключ" означает подраздел, т.е. как бы "папку".
    А отдельное поименованное значение называется "параметр".


    Цитата Сообщение от ZerLu Посмотреть сообщение
    Bratez что именно??? и как
    Я имел ввиду перечисленные 4 файла и содержимое папки down.
    В IceSword в контекстном меню файла есть пункт "Copy to...".
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    вот что у меня в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    Последний раз редактировалось ZerLu; 16.04.2008 в 14:36.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от ZerLu Посмотреть сообщение
    вот что у меня в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    Очень хорошо, вот всю эту "папочку" srosa и надо удалить.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59

    Только не смейтесь

    Цитата Сообщение от Bratez Посмотреть сообщение
    Да, в реестре понятие "ключ" означает подраздел, т.е. как бы "папку".
    А отдельное поименованное значение называется "параметр".
    ... и так я УДАЛЯЮ "папочку" SROSA ???

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Именно так. Просто надо понимать, что ключ реестра это на самом деле не папка, а запись в системной базе данных, только и всего.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Я имел ввиду перечисленные 4 файла и содержимое папки down.
    В IceSword в контекстном меню файла есть пункт "Copy to...".
    ... всё srosa больше нет, а что теперь будем делать с этим???

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от ZerLu Посмотреть сообщение
    ... всё srosa больше нет, а что теперь будем делать с этим???
    Ну если вы уже сделали force delete для
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    и содержимого папки down, то поздно, копий нам уже не видать.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    54
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ну если вы уже сделали force delete для
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    и содержимого папки down, то поздно, копий нам уже не видать.
    жаль... не обессудьте.

  • Уважаемый(ая) ZerLu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Email-Worm.Win32.Bagle.of сидит в кэше IE как b64_31.jpeg
      От Stepanyuk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.02.2008, 18:05
    2. Бук, зараженный Email-Worm.Win32.Silly.b
      От Михалыч в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.06.2007, 17:05
    3. Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 8
      Последнее сообщение: 07.09.2006, 20:29
    4. Предупреждение: Email-Worm.Win32.Bagle.eb
      От ALEX(XX) в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 23.11.2005, 15:18
    5. Email-Worm.Win32.Bagle.bz, .ca, .cb
      От ALEX(XX) в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 12.08.2005, 16:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01098 seconds with 17 queries