 |
|
|
05.05.2009, 15:43
|
#46 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
lordracing,
Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\system32\ashevtsvc.exe');
TerminateProcessByName('c:\documents and settings\localservice\application data\916653139.exe');
DelBHO('{56BB6D01-7BD5-4458-A4AE-F03DF643D6EE}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{aa58ed58-01dd-4d91-8333-cf10577473f7}');
DeleteService('ashevtsvc');
DeleteFile('c:\documents and settings\localservice\application data\916653139.exe');
DeleteFile('c:\windows\system32\ashevtsvc.exe');
DeleteFile('C:\WINDOWS\system32\gofax.dll');
DeleteFile('C:\WINDOWS\system32\stfa.dll');
DeleteFile('C:\WINDOWS\system32\sw20.exe');
DeleteFile('C:\WINDOWS\system32\sw24.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('digiwet.dll');
DeleteFile('stfa.dll');
DeleteFile('C:\Program Files\Google\googletoolbar1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('c:\program files\google\googletoolbar1.dll');
DelAutorunByFileName('c:\documents and settings\localservice\application data\916653139.exe');
DelAutorunByFileName('C:\WINDOWS\system32\sw20.exe');
DelAutorunByFileName('C:\WINDOWS\system32\sw24.exe');
DelAutorunByFileName('digiwet.dll');
DelAutorunByFileName('C:\WINDOWS\system32\twex.exe');
DelCLSID('{56BB6D01-7BD5-4458-A4AE-F03DF643D6EE}');
DelCLSID('{aa58ed58-01dd-4d91-8333-cf10577473f7}');
DelCLSID('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteSysClean;
RebootWindows(true);
end.
Если в процессе выполнения этого скрипта комп зависнет минут на 5 то вы его кнопочкой на корпусе системника перезагрузите  После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck P.S. По возможности выполните стандартный скрипт №2 в avz с подключеной флешкой или другим съемным накопителем |
|
|
05.05.2009, 15:58
|
#47 (ссылка) | |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 4
Репутация: 0
|
Цитата:
выполнил стандартный скрипт №2 в avz с подключеной флешкой http://exfile.ru/39262 |
|
|
|
|
05.05.2009, 16:59
|
#49 (ссылка) | |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 4
Репутация: 0
|
Цитата:
http://exfile.ru/39271 установил касперского и он еще вот что нашел удалено: троянская программа Trojan-Downloader.Win32.Agent.buhz Файл: C:\WINDOWS\Temp\E4F470B4.exe |
|
|
|
|
05.05.2009, 17:05
|
#50 (ссылка) | |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Цитата:
|
|
|
|
|
05.05.2009, 17:12
|
#51 (ссылка) | |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 4
Репутация: 0
|
Цитата:
Спасибо большое! |
|
|
|
|
05.05.2009, 23:41
|
#52 (ссылка) |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
Помогите атакует вирус Malware Doctor
Помогите атакует вирус Malware Doctor . Вот ссылка http://exfile.ru/39349 помогите скриптом для лечения
|
|
|
|
06.05.2009, 01:08
|
#53 (ссылка) |
|
Стажёр
|
У Вас не только Malware Doctor. Скачайте еще с интернета утилиту kidokiller и sality_off. Поочередно запустите их, а затем выполняйте этот скрипт. обязательно сделайте точку для восстановления системы после этих двух утилит.
Последний раз редактировалось 01pump; 06.05.2009 в 09:00. |
|
|
|
06.05.2009, 08:56
|
#54 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Denesis, Если не уверен что не накосячишь зачем предлагаешь это? Ты хоть вкурсе что в этих твоих "точках восстановления" вирусня как в инкубаторе будет? И для чего это , точнее от чего kidokiller и sality_off ?
Последний раз редактировалось 01pump; 06.05.2009 в 09:14. |
|
|
|
06.05.2009, 09:12
|
#55 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
kenas,
Отключите восстановление системы: Панель управления-Система- вкладка "восстановление системы"- поставить птичку "отключить восстановление" - применить. Только после этого выполнить: Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\localservice\application data\916653139.exe');
DelBHO('{c4a9bdd1-cd85-4398-a370-c2c53e1c70ea}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelBHO('{56bb6d01-7bd5-4458-a4ae-f03df643d6ee}');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\gofax.dll');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\916653139.exe');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('gofax.dll');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\vjwjsqu.dll');
DeleteFile('C:\Documents and Settings\Ma-Kenas\Local Settings\Temporary Internet Files\Content.IE5\URQNUP63\741l1[1].exe');
DeleteFile('crypts.dll');
DeleteFile('C:\WINDOWS\Temp\1458.tmp');
DeleteFile('C:\WINDOWS\Temp\21F3.tmp');
DeleteFile('C:\WINDOWS\Temp\30F3.tmp');
DeleteFile('C:\WINDOWS\Temp\3855.tmp');
DeleteFile('C:\WINDOWS\Temp\C34A.tmp');
DeleteFile('C:\WINDOWS\Temp\D259.tmp');
DeleteFile('C:\WINDOWS\Temp\D6F0.tmp');
DeleteFile('C:\WINDOWS\Temp\D775.tmp');
DeleteFile('C:\WINDOWS\Temp\D840.tmp');
DeleteFile('C:\WINDOWS\Temp\DA08.tmp');
DeleteFile('C:\WINDOWS\Temp\DAD6.tmp');
DeleteFile('C:\WINDOWS\Temp\E0D1.tmp');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
DelCLSID('{56bb6d01-7bd5-4458-a4ae-f03df643d6ee}');
DelCLSID('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelCLSID('{c4a9bdd1-cd85-4398-a370-c2c53e1c70ea}');
DelAutorunByFileName('c:\documents and settings\localservice\application data\916653139.exe');
DelAutorunByFileName('crypts.dll');
DelAutorunByFileName('C:\WINDOWS\system32\digiwet.dll');
DelWinlogonNotifyByFileName('crypts.dll');
ClearIECache;
ClearQuarantine;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteSysClean;
RebootWindows(true);
end.
Если в процессе выполнения этого скрипта комп зависнет минут на 5 то вы его кнопочкой на корпусе системника перезагрузите После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck |
|
|
|
06.05.2009, 15:28
|
#57 (ссылка) | |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Цитата:
Только после этого выполнить: Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ashevtsvc.exe');
TerminateProcessByName('c:\documents and settings\localservice\application data\916653139.exe');
DeleteService('ashevtsvc');
DeleteFile('c:\documents and settings\localservice\application data\916653139.exe');
DeleteFile('c:\windows\system32\ashevtsvc.exe');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\stfa.dll');
DeleteFile('C:\WINDOWS\system32\mckcda.dll');
DeleteFile('C:\WINDOWS\system32\rebuild.exe');
DeleteFile('crypts.dll');
DeleteFile('stfa.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\brelib.dll');
DeleteFile('C:\WINDOWS\Temp\wpv101238422083.exe');
DeleteFileMask('C:\Temp', '*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
DelAutorunByFileName('c:\documents and settings\localservice\application data\916653139.exe');
DelAutorunByFileName('C:\WINDOWS\system32\mckcda.dll');
DelAutorunByFileName('C:\WINDOWS\system32\rebuild.exe');
DelAutorunByFileName('crypts.dll');
DelBHO('{7B78D0DE-65FD-4B55-8502-8A1E747C28D5}');
DelBHO('{638e9359-625e-4e8a-aa5b-824654c3239b}');
DelBHO('{56bb6d01-7bd5-4458-a4ae-f03df643d6ee}');
DelCLSID('{56bb6d01-7bd5-4458-a4ae-f03df643d6ee}');
DelCLSID('{638e9359-625e-4e8a-aa5b-824654c3239b}');
DelCLSID('{7B78D0DE-65FD-4B55-8502-8A1E747C28D5}');
ClearIECache;
ClearQuarantine;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteSysClean;
RebootWindows(true);
end.
Если в процессе выполнения этого скрипта комп зависнет минут на 5 то вы его кнопочкой на корпусе системника перезагрузите После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck После чего на сайте www.virustotal.com проверьте следующие файлы: C:\WINDOWS\System32\drivers\2bb9155d.sys c:\program files\textware\bookcase40\bc40case.exe c:\windows\system32\uaservice.exe C:\WINDOWS\system32\BC40HOT.dll C:\Program Files\TEXTware\BOOKcase40\BC40VIEW.exe Если будут появляться сообщения что такие файлы проверялись то все равно выполните повторную проверку. Сообщите по ним результат |
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Kerish Doctor | Lttybc | Утилиты | 0 | 08.09.2010 23:24 |
| Как удалить Antiwalware doctor? | Даурия | Безопасность | 11 | 01.07.2010 16:01 |
| Malware doctor | Khabarcheg | Безопасность | 5 | 19.06.2010 10:01 |
| Помогите удалить Antimalware Doctor!!! | Greeneer | Безопасность | 11 | 11.06.2010 13:42 |
| Можно ли верить Malwarebytes' Anti-Malware | Alya | Безопасность | 1 | 02.06.2010 12:32 |
| Как удалить Antimalware Doctor? | Alone | Безопасность | 17 | 02.06.2010 11:17 |
| И снова - как удалить Antimalware Doctor? | Мышь-норушь | Безопасность | 10 | 01.06.2010 14:11 |
| Как удалить Antimalware Doctor? | termit | Безопасность | 2 | 28.05.2010 03:31 |
| Как удалить Antimalware Doctor | DmitryD | Безопасность | 4 | 16.05.2010 14:43 |
| Помогите удалить вирус Antimalware Doctor | kuvani | Безопасность | 6 | 14.05.2010 11:17 |
| Doctor Web | Vlade4ka | Безопасность | 18 | 28.10.2009 19:51 |
| Malwarebytes' Anti-Malware нашел два вируса.Удалять? | igoryanich | Безопасность | 30 | 16.06.2009 23:19 |
