- This topic has 4 ответа, 3 участника, and was last updated 15 years, 10 months назад by
.
-
Сообщения
-
значит ситуация-скачала прогу-R-Studio 4.6 Build 127527,и файл и кейген проверила авастом 4.8 про! проверка ничего подозрительного не нашла! но при запуске кейгена отрубило аваст,мессенжер и половину программ! на попытку запуска которых система ругается-
в сейв моде зайти невозможно-выбрасывает! что делать не подскажете? 😯единственная прога,которая запустилась нашла 8 троянов!
но не убирает,просит перегрузку якобы для удаления,перегружаю-то-же самое!
Здравствуйте, добро пожаловать на Spyware-ru форум.
Ваш компьютер заразился трудно удаляемым вирусом. Поэтому процедура лечения может быть трудной и долгой.
Для начала попробуйте скачать программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Здравствуйте Roza.
Согласен с Valeri, у вас действительно опасный и трудно удаляемый зловред Baegle.
Кроме логов combofix (саму утилиту перед запуском переименуйте в combo-fix.exe), давайте ещё поступим так:
В самой программе Malwarebytes’ Anti-Malware (МВАМ) есть во вкладке Settings — Language выберите язык Русский, так вам вероятно будет удобнее, далее во вкладке Утилиты есть, ниже FileASSASIN, кнопка Запустить, нажмите её, найдите файлы которые нашел МВАМ и попробуйте удалить. Удалите также файлы (если найдутся)C:WINDOWSsystem32drivershldrrr.exe
C:WINDOWSsystem32driversmdelk.exe
C:WINDOWSsystem32driverssrosa.sys
C:WINDOWSsystem32driverssrosa2.sys
C:WINDOWSsystem32wintems.exe
C:WINDOWSsystem32driverswinfilse.exeСледующий шаг:
Cкачайте полимормфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. обновлять антивирусные базы для этой версии не требуется.
далее в меню файл — выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%driverssrosa.sys','');
QuarantineFile('%System32%driverssrosa2.sys','');
QuarantineFile('%System32%drivershldrrr.exe','');
QuarantineFile('%System32%wintems.exe','');
QuarantineFile('%System32%driversmdelk.exe','');
QuarantineFile('%System32%mdelk.exe','');
QuarantineFile('%System32%driverswinfilse.exe','');
DeleteFile('%System32%driverswinfilse.exe');
DeleteFile('%System32%drivershldrrr.exe');
DeleteFile('%System32%driverssrosa.sys');
DeleteFile('%System32%driverssrosa2.sys');
DeleteFile('%System32%wintems.exe');
DeleteFile('%System32%driversmdelk.exe');
DeleteFile('%System32%mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%driversdown') then
begin
DeleteFileMask('%System32%driversdown', '*.*', true);
DeleteDirectory('%System32%driversdown');
If DirectoryExists('%System32%driversdown') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%driversdownld') then
begin
DeleteFileMask('%System32%driversdownld', '*.*', true);
DeleteDirectory('%System32%driversdownld');
If DirectoryExists('%System32%driversdownld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'SoftwareFirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.После перезагрузки повторите ещё раз выполение этого скрипта.
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ прикрепите их к сообщению.Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat — подтвердить, нажав «Y»), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь
Если не будет загружаться безопасный режим, запустите AVZ (game.pif) в меню файл — восстановление системы — отметьте галочкой п.10.Восстановление настроек загрузки в SafeMode и нажмите Выполнить отмеченные операции, после этого попробуйте загрузиться в безопасном режиме и запустить SDFix.
Запустите ещё раз game.pif. Выберите из меню Файл — Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите «Выполнить отмеченные скрипты». После выполнения скрипта обязательно перезагрузите компьютер. Вложите в следующее сообщение файл virusinfo_sysinfo.htm или virusinfo_syscure.zip из каталога AVZLOG
- Для ответа в этой теме необходимо авторизоваться.
