Помогите удалить wintems.exe

[Dj Robert]

хоть что то получилось!

зашел через загрузочный диск, удалил папку down удалил файлы, перезагрузился.

F8 safe mode. directory services restore mode (windows domein controllers only)

получилось открыть avz через winrar и сделать Log

перезагрузился srosa.sys hldrrr.exe опять блокируют анти вирусы.
и теперь hldrrr.exe седит в процесах.

wintems.exe и mdelk.exe вроде стерлись

сорри все файлы наместе

[kps]

Как не получается скачать? Вот ссылка http://www.uploading.com/files/55WFWOOS/hockey.pif.html , зайдите туда, там внизу будет написано Please Wait и обратный отсчет секунд (начиная примерно с минуты), подождите пока время пройдет (примерно минуту), тогда появится кнопка "Download", на нее нажмите, скачайте и выполните инструкции из поста N 19.

[Dj Robert]

вот еще лог

[Dj Robert]

да идет отчет, потом нажимаю на даунлоад открывается новое окно и все..
а кеш интернета очищяеться, как я понял в опцыях интернета-Internet Properties?

[kps]

ок, я залью его сейчас куда-нибудь в другое место.

а кеш интернета очищяеться, как я понял в опцыях интернета-Internet Properties?

В IE на английском вроде Tools - Internet Options (у меня на русском).

[Dj Robert]

огромное спасибо за вашу помощь!!

[kps]

http://www.megaupload.com/?d=AUGYD37C
Вот ссылка, скачайте (там надо ввести 3 буквы и нажать на Download) и подождать.
После того, как скачаете, выполните инструкции из поста N 19.

[Dj Robert]

скачал сейчас попробую спасибо...

Добавлено через 2 часа 7 минут

не получаеться, стераю перестартовываю опять появляются... я еще в регистрах покопался там нашел german.exe удалил. теперь в регистре, ран, появляеться hldrrr.exe что за таварь такая, а мля!

[kps]

Хорошо, что IceSword хоть запустился, сделайте так:
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос потверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe

Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.

Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.

Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa", его не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.

Перезагрузите компьютер.
После перезагрузки, удалите AVZ, скачайте его заново, запустите и попробуйте сделать логи по правилам (начиная с п.10 правил).

[Dj Robert]

эти логи не те сорри щя другие пришлю

[kps]

Ура, AVZ запустился!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a1p8aqez.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин, как написано в правилах (загружать здесь: http://virusinfo.info/upload_virus.php?tid=19829 )
Сделайте новые логи начиная с пункта 10 правил.

[Dj Robert]

Гип гип ура ура ура!!! вот новые логи посмотрите пожалуйстя... я еще не выполнил скрипт!

[kps]

Все, червя Багла больше нет, поздравляю, но на всякий случай проверьте компьютер еще утилитой CureIt! (ссылка и инструкция в правилах, пункт 2).

Выполните скрипт в AVZ:

Код:

begin
QuarantineFile('C:\WINDOWS\System32\Drivers\a1x2kb8x.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин, как написано в правилах (загружать здесь: http://virusinfo.info/upload_virus.php?tid=19829 )

Вот это Вам знакомо -
C:\Documents and Settings\DJ Robert\Local Settings\Temp\ir_ext_temp_1\AutoPlay\Docs\Universa l Windows Keyfinder.exe
Это not-a-virus: PSWTool.Win32.RAS.a
Если не нужен или незнаком - удалите.

[Dj Robert]

Universa l Windows Keyfinder.exe помоему это утилита которой я крякал винду что бы апдейты на халяву получать, если не нужна я удалю

Добавлено через 1 минуту

карантин надо запоковать в рар???

[kps]

Карантин надо паковать в zip c паролем virus , почитайте правила - приложение 3.

[Dj Robert]

сделал отправил на этом все можно запустить нод?

[kps]

Нод лучше удалить и поставить заново, на случай, если червь его повредил.

[Dj Robert]

хочу сказать огромное спасибо за вашу помощь!!!

не посоветуете какую версию нода лучше поставить? или ссылку дадите зарание спасибо

[kps]

Можете посмотреть здесь.

[Dj Robert]

все!!! скачал нод32. установил, обнавил базы. просканирывал полностью весь комп. нашел один вирус удалил... сейчас все пучком сапсибо спасибо большое вам вашему проекту, здоровья и долголетия!!!!