обнаружил в автозагрузке [COLOR=Black]C:\WINDOWS\system32\drivers\hldrrr.exe
Убить?
Вот лог автозагрузки
[/COLOR]
Printable View
обнаружил в автозагрузке [COLOR=Black]C:\WINDOWS\system32\drivers\hldrrr.exe
Убить?
Вот лог автозагрузки
[/COLOR]
Пытаюсь убить в регистре запись HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
D:\WINDOWS\system32\drivers\hldrrr.exe
Говорит Access Denied!
Как можно эту гадость удалить?
-[QUOTE]
Удалить файлы Iceword-ом:
%System%\drivers\srosa.sys
%System%\drivers\hidr.exe
Удалить параметр из ключа системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" = "%System%\drivers\hidr.exe"
Удалить ключ реестра:
[HKCU\Software\FirstRRRun]
Удалить следующую папку со всем ее содержимым:
%WinDir%\exefqd[/QUOTE]
не помогает, эти файлы появляются снова при перезагрузке :sad:
В дополнение к тому что перечислил Alex_Goodwin:
[b]D:\WINDOWS\system32\WINTEMS.EXE[/b]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
А пробовали avz.exe переименовать напрмер в 555.com или 777.pif?
Cureit в безопасном режиме тоже перезагружается?
[quote=Bratez;174805]В дополнение к тому что перечислил Alex_Goodwin:
[B]D:\WINDOWS\system32\WINTEMS.EXE[/B]
[SIZE=1][COLOR=#666686][/COLOR][/SIZE][/quote]Да! Убил этот файлик и все остальные и удалось запустить антивирус, cureit и AVZ и загрузиться в сейф моде! Спасибо!
Логи AVZ сделайте в нормальном режиме для контроля.
[quote=Maxim;174816]Логи AVZ сделайте в нормальном режиме для контроля.[/quote]Вот логи, после того как прогнал cureIt и AVZ.
Буду рад советам, что делать дальше. Вроде все работает нормально, антивирус avast поставил на полный скан дисков.
[B]Обновите базы AVZ![/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('DFB852A3-47F8-48C4-A200-58CAB36FD2A2');
DelBHO('2EAF5BB2-070F-11D3-9307-00C04FAE2D4F');
DelBHO('2EAF5BB1-070F-11D3-9307-00C04FAE2D4F');
DelBHO('219C3416-8CB2-491a-A3C7-D9FCDDC9D600');
DelBHO('0140DF95-9128-4053-AE72-F43F0CFCA062');
DeleteFile('D:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteFile('D:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Повторите лог virusinfo_syscheck.zip.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Avast не самый лучший антивирус. С ним Вы будете постоянным клиентом.
базу обновил, скрипт выполнил. что теперь?
вот лог:
а какой антивирус порекомендуете?
В логах всё нормально. Что из этого не нужно?[CODE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/CODE]Про антивирусы посмотрите [URL="http://virusinfo.info/showpost.php?p=166100&postcount=130"]здесь[/URL] и [URL="http://virusinfo.info/showthread.php?t=1550"]здесь[/URL].
Большое спасибо!