C:\WINDOWS\system32\mdelk.exe
Зараженный объект: Email-Worm.Win32.Bagle.of
вот такая зараза, убить уже не могу дней 20-ть, антивирусы конечно не запускаются, только есть результаты проверки kaspersky on-line
C:\WINDOWS\system32\mdelk.exe
Зараженный объект: Email-Worm.Win32.Bagle.of
вот такая зараза, убить уже не могу дней 20-ть, антивирусы конечно не запускаются, только есть результаты проверки kaspersky on-line
[url]http://virusinfo.info/showthread.php?t=1235[/url]
[quote=V_Bond;216129][URL]http://virusinfo.info/showthread.php?t=1235[/URL][/quote]
что такое, я читал
АВЗ то же не запускается?
[quote=wise-wistful;216131]АВЗ то же не запускается?[/quote]
да, да, да ни АЗВ, ни Доктор, удалить через Анлокер не получается (пользовался и аналогом)
Скачайте переименованный [url=http://wise-wistful.ifolder.ru/6132900]IceSword[/url] (его exe-файл в hockey.pif)
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
[quote=wise-wistful;216134]
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
[/quote]
Не понятно, удалять надо было оттуда из DOWN папки???
Нет не из папки, а папку WINDOWS\system32\drivers\down
[quote=wise-wistful;216147]Нет не из папки, а папку WINDOWS\system32\drivers\down[/quote]
понял всю папку...
Неплохо бы как-нибудь и нам прислать по правилам копии удаляемых.
[b]down[/b] именно так папка называется. Имя иногда немного другое если не понятно то уточните. Не удалите папку [b]drivers[/b] случайно.
[quote=wise-wistful;216134]
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.[/quote]
Снова не понятно SROSA удалять всю папку???
[quote=Bratez;216149]Неплохо бы как-нибудь и нам прислать по правилам копии удаляемых.[/quote]
Bratez что именно??? и как
[quote=ZerLu;216153]Снова не понятно SROSA удалять всю папку???[/quote]
Да, в реестре понятие "ключ" означает подраздел, т.е. как бы "папку".
А отдельное поименованное значение называется "параметр".
[quote=ZerLu;216153]Bratez что именно??? и как[/quote]
Я имел ввиду перечисленные 4 файла и содержимое папки down.
В IceSword в контекстном меню файла есть пункт "Copy to...".
вот что у меня в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
[quote=ZerLu;216156]вот что у меня в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa[/quote]
Очень хорошо, вот всю эту "папочку" [b]srosa[/b] и надо удалить.
[quote=Bratez;216154]Да, в реестре понятие "ключ" означает подраздел, т.е. как бы "папку".
А отдельное поименованное значение называется "параметр".
[/quote]
... и так я УДАЛЯЮ "папочку" SROSA ???
Именно так. Просто надо понимать, что ключ реестра это на самом деле не папка, а запись в системной базе данных, только и всего.
[quote=Bratez;216154]
Я имел ввиду перечисленные 4 файла и содержимое папки down.
В IceSword в контекстном меню файла есть пункт "Copy to...".[/quote]
... всё srosa больше нет, а что теперь будем делать с этим???
[quote=ZerLu;216163]... всё srosa больше нет, а что теперь будем делать с этим???[/quote]
Ну если вы уже сделали force delete для
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
и содержимого папки down, то поздно, копий нам уже не видать.
[quote=Bratez;216166]Ну если вы уже сделали force delete для
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
и содержимого папки down, то поздно, копий нам уже не видать.[/quote]
жаль... не обессудьте.