обнаружил в автозагрузке C:\WINDOWS\system32\drivers\hldrrr.exe
Убить?
Вот лог автозагрузки
обнаружил в автозагрузке C:\WINDOWS\system32\drivers\hldrrr.exe
Убить?
Вот лог автозагрузки
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пытаюсь убить в регистре запись HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
D:\WINDOWS\system32\drivers\hldrrr.exe
Говорит Access Denied!
Как можно эту гадость удалить?
-Удалить файлы Iceword-ом:
%System%\drivers\srosa.sys
%System%\drivers\hidr.exe
Удалить параметр из ключа системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" = "%System%\drivers\hidr.exe"
Удалить ключ реестра:
[HKCU\Software\FirstRRRun]
Удалить следующую папку со всем ее содержимым:
%WinDir%\exefqd
не помогает, эти файлы появляются снова при перезагрузке
В дополнение к тому что перечислил Alex_Goodwin:
D:\WINDOWS\system32\WINTEMS.EXE
Добавлено через 1 минуту
А пробовали avz.exe переименовать напрмер в 555.com или 777.pif?
Последний раз редактировалось Bratez; 19.01.2008 в 05:01. Причина: Добавлено
I am not young enough to know everything...
Cureit в безопасном режиме тоже перезагружается?
Да! Убил этот файлик и все остальные и удалось запустить антивирус, cureit и AVZ и загрузиться в сейф моде! Спасибо!Сообщение от Bratez
Логи AVZ сделайте в нормальном режиме для контроля.
Вот логи, после того как прогнал cureIt и AVZ.
Буду рад советам, что делать дальше. Вроде все работает нормально, антивирус avast поставил на полный скан дисков.
Обновите базы AVZ!
Выполните скрипт в AVZПовторите лог virusinfo_syscheck.zip.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelBHO('DFB852A3-47F8-48C4-A200-58CAB36FD2A2'); DelBHO('2EAF5BB2-070F-11D3-9307-00C04FAE2D4F'); DelBHO('2EAF5BB1-070F-11D3-9307-00C04FAE2D4F'); DelBHO('219C3416-8CB2-491a-A3C7-D9FCDDC9D600'); DelBHO('0140DF95-9128-4053-AE72-F43F0CFCA062'); DeleteFile('D:\WINDOWS\system32\drivers\srosa.sys'); BC_DeleteFile('D:\WINDOWS\system32\drivers\srosa.sys'); BC_DeleteSvc('srosa'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Добавлено через 1 минуту
Avast не самый лучший антивирус. С ним Вы будете постоянным клиентом.
Последний раз редактировалось Макcим; 19.01.2008 в 08:01. Причина: Добавлено
базу обновил, скрипт выполнил. что теперь?
вот лог:
а какой антивирус порекомендуете?
В логах всё нормально. Что из этого не нужно?Про антивирусы посмотрите здесь и здесь.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Большое спасибо!
Уважаемый(ая) dupatan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
