Винт определяется как Е:, а не С: - Страница 10

01pump · 26.12.2009, 18:45

Цитата:

Сообщение от cympak

http://exfile.ru/73800 - hijek
http://exfile.ru/73801 - avz

запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующую строчку:

Код:

 
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Documents and Settings\01\hvojegi.exe \s

и нажмите FIX checked

Выполните это

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\dewohik.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-5896211827-6891656580-444428749-3231\wmfcgr.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','woodar');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','woodar');
 DeleteFile('C:\WINDOWS\jjdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 DeleteFile('C:\WINDOWS\system32\dewohik.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','woodar');
 DeleteFile('C:\WINDOWS\system32\vammyqu.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jupettaz');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
 DeleteFile('C:\WINDOWS\wind7upd.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll');
 DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
 DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
 DelCLSID('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
 DelCLSID('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки выполняем стандартный скрипт №2 и присылаем архив virusinfo_syscheck.zip

cympak · 26.12.2009, 18:53

http://exfile.ru/73805

01pump · 26.12.2009, 18:58

Цитата:

Сообщение от cympak

http://exfile.ru/73805

Выполняем это

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('yi9ewpydqcw');
 DeleteFile('c:\windows\system32\wygou.exe');
 DeleteFile('C:\WINDOWS\system32\dewohik.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','woodar');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки новый лог hijackthis и стандартный скрипт №2 (virusinfo_syscheck.zip )

cympak · 26.12.2009, 19:04

http://exfile.ru/73808
http://exfile.ru/73809

01pump · 26.12.2009, 19:11

Цитата:

Сообщение от cympak

http://exfile.ru/73808
http://exfile.ru/73809

FIX checked

Код:

 
O23 - Service: Network Connectivity Service (yi9ewpydqcw) - Unknown owner - C:\WINDOWS\system32\wygou.exe (file missing)

Затем выполнить это в avz

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

После перезагрузки новый лог hijackthis и стандартный скрипт №2 (virusinfo_syscheck.zip )

cympak · 26.12.2009, 19:19

http://exfile.ru/73811
http://exfile.ru/73812

01pump · 26.12.2009, 19:24

cympak,
Вы с помощью hijackthis удаляли строчку?

Цитата:

O23 - Service: Network Connectivity Service (yi9ewpydqcw) - Unknown owner - C:\WINDOWS\system32\wygou.exe (file missing)

cympak · 26.12.2009, 19:27

да. еще раз проверил - этой строки уже нет.

01pump · 26.12.2009, 19:30

Цитата:

Сообщение от cympak

да. еще раз проверил - этой строки уже нет.

Сделайте новый лог hijackthis и пришлите его.

cympak · 26.12.2009, 19:34

http://exfile.ru/73813

26.12.2009, 18:53	#92 (permalink)
cympak Member Регистрация: 26.12.2009 Сообщений: 16 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	http://exfile.ru/73805

26.12.2009, 19:04	#94 (permalink)
cympak Member Регистрация: 26.12.2009 Сообщений: 16 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	http://exfile.ru/73808 http://exfile.ru/73809

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

26.12.2009, 19:19	#96 (permalink)
cympak Member Регистрация: 26.12.2009 Сообщений: 16 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	http://exfile.ru/73811 http://exfile.ru/73812

26.12.2009, 19:27	#98 (permalink)
cympak Member Регистрация: 26.12.2009 Сообщений: 16 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	да. еще раз проверил - этой строки уже нет.

26.12.2009, 19:34	#100 (permalink)
cympak Member Регистрация: 26.12.2009 Сообщений: 16 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	http://exfile.ru/73813