Симтомы все те же, одно отличие - у меня не грузится ни cureit, ни касперский, ни AVZ, ни с диска, ни с винчестера, ни с обычной загрузки, ни с безопасного режима (который тоже не работал пока я ручками с другого компа не скопировал в регистр SafeBoot). Во всех случаях пишет что " такая то программа не является приложением Windows"
Я абсолютно без понятия как убивать его, я его не могу найти, так как в настройках вида папки пропали параметры "Показывать скрытые файлы" О_О их просто нету.. сначала решил, что их там и не было,но на другом компе присутствуют..
Нид хелп! Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте переименованный IceSword (его exe-файл в hockey.pif )
Скачать можно отсюда: http://www.megaupload.com/?d=AUGYD37C
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Попробуйте запустить АВЗ.
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Спасибо за оперативную помошь! Папки down нету, есть папка downld, думаю это именно то, что вы имеете в виду, но для страховки всё таки хочу услышать ваше мнение)
Добавлено через 12 минут
Так же отмечу, что помимо параметров "drvsyskit" и "german.exe" в ключе HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run находится параметр "hldrrr.exe", его так же нужно удалить?
и то, что помимо ключей реестра ControlSet001 - 004 ключ srosa находится и в ControlSet005, думаю его так же необходимо удалить? (В ControlSet001 и в ControlSet003 ключ srosa отсутствовал)
Последний раз редактировалось Martinz; 08.04.2008 в 00:44.
Причина: Добавлено
в папке downld все файлы с расширением exe, а в именах пяти-восьмизначные числа..даты создания и изменения начинаются от 4 апреля по сей день, то есть примерно тот промежуток, когда у меня перестал работать антивирус
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: