Как удалить Antimalware Doctor?

termit · 28.05.2010, 02:22

winshelp · 28.05.2010, 03:30

termit, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!
Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Выполните еще такой скрипт в AVZ.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\FljdzRh.exe','');
QuarantineFile('C:\WINDOWS\system32\cryptex.dll','');
QuarantineFile('C:\WINDOWS\Temp\P.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv801239014101.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.dll','');
QuarantineFile('c:\windows\system32\winctrl32.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
DeleteFile('c:\windows\system32\winctrl32.dll');
DeleteFile('C:\WINDOWS\system32\servises.dll');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('\\?\globalroot\systemroot\system32\FljdzRh.exe');
DeleteFile('C:\WINDOWS\system32\cryptex.dll');
DeleteFile('C:\WINDOWS\Temp\P.exe');
DeleteFile('C:\WINDOWS\Temp\wpv801239014101.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('\\');
DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
DeleteFile('C:\WINDOWS\system32\brastk.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','brastk');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','brastk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); 
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gotnewupdate005000.exe');
DelCLSID('FC81D79B-47F6-49A9-A83F-0E9D5456BAB1');
BC_DeleteSvc('ClipSrvDhcp');
BC_DeleteSvc('ERSvcEventSystem');
BC_DeleteSvc('NetlogonBITS');
BC_DeleteSvc('RpcLocatorose');
BC_DeleteSvc('SharedAccessusnjsvcCOMSysApp');
BC_DeleteSvc('usnjsvcCOMSysApp');
BC_DeleteSvc('VSSwuauserv');
BC_DeleteSvc('Wmixmlprov');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

winshelp · 28.05.2010, 03:31

После перзагрузки компьютера.
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by
----
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis
и файл fystemRoot.log из директории AVZ.

28.05.2010, 02:22	#1 (ссылка)
termit Новичок Регистрация: 28.05.2010 Сообщений: 1 Репутация: 0	Как удалить Antimalware Doctor? http://exfile.ru/104032

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Стоит Mse+Comodo хочу добавить AntiMalware.	Kofemen	Безопасность	0	01.12.2010 03:02
Как удалить Antiwalware doctor?	Даурия	Безопасность	11	01.07.2010 16:01
Помогите удалить Antimalware Doctor!!!	Greeneer	Безопасность	11	11.06.2010 13:42
Как удалить Antimalware Doctor?	Alone	Безопасность	17	02.06.2010 11:17
Как удалить Malware Doctor	valerykr	Безопасность	885	01.06.2010 23:40
И снова - как удалить Antimalware Doctor?	Мышь-норушь	Безопасность	10	01.06.2010 14:11
Как победить псевдоантивирус Antimalware doctor	NaTaN	Безопасность	3	26.05.2010 18:22
Удаление Antimalware Doctor	Mikle	Безопасность	11	23.05.2010 21:01
Помогите укакошить Antimalware Doctor	Ambarnikov	Безопасность	6	21.05.2010 01:24
Никак не удаляется Antimalware Doctor	goodmike	Безопасность	4	17.05.2010 13:51
Как удалить Antimalware Doctor	DmitryD	Безопасность	4	16.05.2010 14:43
Помогите удалить вирус Antimalware Doctor	kuvani	Безопасность	6	14.05.2010 11:17

28.05.2010, 03:31	#3 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	После перзагрузки компьютера. Выполнить еще такой скрипт в AVZ. Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by ---- Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis и файл fystemRoot.log из директории AVZ.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads