Показано с 1 по 2 из 2.

Reader_s.exe and others

  1. #1
    Junior Member Репутация
    Регистрация
    27.04.2009
    Сообщений
    1
    Вес репутации
    32

    Reader_s.exe and others

    I have tried everything and nothing is working. I can detect the infections in safe mode and remove them but when i go back in normal mode it just comes back. I am locked out of regedit, any website that can shed some light on this virus (I am sending the log of the infected PC from a clean one). I ran the Kaspersky Virus removal tool and it still comes back. now am trying the manual method on this removal tool. So here is the system info that is being requested. Any help will be greatly appreciated.

    Sandman
    Вложения Вложения

  2. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Remove Bonjour: http://virusinfo.info/showthread.php?t=42263

    Close/unload all the programs excepted AVZ and Internet Explorer

    Switch off:
    - Antivirus and and, if you have - Firewall.
    - System Restore


    - Execute following script in Manual Cure
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\temp\1973270796.exe');
     TerminateProcessByName('c:\windows\temp\1859052046.exe');
     TerminateProcessByName('c:\windows\system32\3361\svchost.exe');
     TerminateProcessByName('c:\windows\dhcp\svchost.exe');
     TerminateProcessByName('c:\program files\thunmail\testabd.exe');
     TerminateProcessByName('c:\program files\bonjour\mdnsresponder.exe');
     TerminateProcessByName('c:\docume~1\sandy\locals~1\temp\1095959750.exe');
     StopService('restore');
     StopService('protect');
     StopService('Bonjour Service');
     QuarantineFile('C:\WINDOWS\TEMP\fg7nymikb6.exe','');
     QuarantineFile('c:\windows\temp\1973270796.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\1859052046.exe','');
     QuarantineFile('c:\windows\temp\1859052046.exe','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\jksahfo93wjfkd.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     QuarantineFile('C:\WINDOWS\system32\3361\SVCHOST.exe','');
     QuarantineFile('c:\windows\system32\3361\svchost.exe','');
     QuarantineFile('c:\windows\dhcp\svchost.exe','');
     QuarantineFile('c:\program files\thunmail\testabd.exe','');
     QuarantineFile('c:\progra~1\ThunMail\testabd.dll','');
     QuarantineFile('C:\DOCUME~1\Sandy\LOCALS~1\Temp\1095959750.exe','');
     QuarantineFile('c:\docume~1\sandy\locals~1\temp\1095959750.exe','');
     DeleteService('restore');
     DeleteService('protect');
     DeleteService('Bonjour Service');
     DeleteFile('C:\WINDOWS\TEMP\fg7nymikb6.exe');
     DeleteFile('c:\windows\temp\1973270796.exe');
     DeleteFile('c:\windows\temp\1859052046.exe');
     DeleteFile('C:\WINDOWS\TEMP\1859052046.exe');
     DeleteFile('C:\WINDOWS\System32\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\jksahfo93wjfkd.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('c:\windows\system32\3361\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\3361\SVCHOST.exe');
     DeleteFile('c:\windows\dhcp\svchost.exe');
     DeleteFile('c:\program files\thunmail\testabd.exe');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
     DeleteFile('C:\Program Files\Bonjour\mdnsNSP.dll');
     DeleteFile('c:\progra~1\ThunMail\testabd.dll');
     DeleteFile('c:\docume~1\sandy\locals~1\temp\1095959750.exe');
     DeleteFile('C:\DOCUME~1\Sandy\LOCALS~1\Temp\1095959750.exe');
     DelCLSID('{B600E6E9-553B-4A19-8696-335E5C896153}');
     DelBHO('{B2BA40A2-74F0-42BD-F434-12345A2C8953}');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('restore');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('Bonjour Service');
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    After reboot:
    - Execute following script in Manual Cure
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');    
    end.
    - Clean Temp-Maps, Cache of Browsers, Recycler. Use Windows service tool cleanmgr or CCleaner or ClearProg
    - Close all the programs and start only Internet Explorer!!!
    - Repeat a log file.
    - Switch Antivirus and, if you have - Firewall, on.
    - Go On-Line
    - Upload the C:\quarantine.zip here: http://virusinfo.info/upload_virus_eng.php?tid=43845
    - Attach a new log to your new post..

Похожие темы

  1. Rootkit.win32.TDSS.d reader_s.exe
    От Clastro в разделе Malware Removal Service
    Ответов: 10
    Последнее сообщение: 05.05.2010, 21:43
  2. reader_s.exe, msdrive32.exe, трояны
    От freeze в разделе Помогите!
    Ответов: 36
    Последнее сообщение: 02.09.2009, 19:34
  3. reader_s.exe Что это??? Подозрение на вирус!!
    От Dmitrij2 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 21.08.2009, 00:02
  4. reader_s.exe и компания
    От Glebych в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 10.07.2009, 10:44
  5. Как избавиться от reader_s.exe
    От vlad_1976 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 18.04.2009, 15:16

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00253 seconds with 17 queries