как их удалить?
Printable View
как их удалить?
[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.
[COLOR="Red"]
- Не выключено системное восстановление.
[/COLOR]
Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.[/B]
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\drivers\Winqv56.sys
C:\WINDOWS\system32\drivers\Winmc44.sys
C:\WINDOWS\system32\drivers\Winff55.sys
C:\WINDOWS\system32\drivers\Winbv56.sys
C:\WINDOWS\system32\Drivers\Winbg88.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [buritos] buritos.exe
O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\6EED~1\LOCALS~1\Temp\loader.exe" /r
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\DOCUME~1\6EED~1\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe','');
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winbg88.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winbv56.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winff55.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winmc44.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winqv56.sys','');
DeleteService('ATIclr_optimization_v2.0.50727_32');
DeleteService('dmserverspidernt');
DeleteService('wuauservstisvc');
DeleteService('TermServiceseclogon');
DeleteService('Scheduleaspnet_state');
DeleteFile('C:\WINDOWS\system32\drivers\Winqv56.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Winmc44.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Winff55.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Winbv56.sys');
DeleteFile('C:\System Volume Information\_restore{80AD0202-53A3-4A66-8205-406B7079B2F4}\RP28\A0018415.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winbg88.sys');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe');
DeleteFile('C:\DOCUME~1\6EED~1\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ATIclr_optimization_v2.0.50727_32');
BC_DeleteSvc('dmserverspidernt');
BC_DeleteSvc('wuauservstisvc');
BC_DeleteSvc('TermServiceseclogon');
BC_DeleteSvc('Scheduleaspnet_state');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.