 Автор |
Сообщение |
Arkan
Гуру
 |
|
SpeedWay
Прежде чем чтото делать посноси из автозагрузки всякую хрень по типу
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
кстати я так и несмог понять что вот это такое:
C:\WINDOWS\ATKKBService.exe |
|
 |
|
 |
SpeedWay
Озверевший Гонщик
 Предупреждений : 6
|
|
| Arkan писал(а): |
кстати я так и несмог понять что вот это такое:
C:\WINDOWS\ATKKBService.exe |
Я тож....
| Arkan писал(а): |
Прежде чем чтото делать посноси из автозагрузки всякую хрень по типу
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe |
Это что-то от принтера.... Снесу, так как им не пользуюсь.... |
|
| |
|
|
Guu-chan
Гуру
 |
|
| SpeedWay писал(а): |
Я так понимаю это пресловутый авторан. Вот через Тотал залез и увидел такие файлы системные на дисках.
Может попробывать их удалить? |
Угу. Можешь попробовать удалить. Но лучше запустить проверку всех дисков CureIT!'ом в безопасном режиме, он должен остатки вычистить.
Ну или запустить сканирование AVZ.
В общем, конечно, можно удалять и вручную. Это значит, что на каждом диске удаляем следующие файлы:
3wcxx91.cmd
autoran.inf
x.com
Остальное - НЕ ТРОГАТЬ! Только эти три. Если хотите, можете скинуть сюда адрес этих файлов на вашем компьютере, например: C:\autoran.inf, и я напишу скрипт для их удаления через АВЗ (если что-то, например, удаляться не будет. Это на тот случай, если вручную эти файлы удаляться не будут.
Если файлы успешно удалились, то фиксим в Хайджеке:
| SpeedWay писал(а): |
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL |
| SpeedWay писал(а): |
| O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe |
И выполняем нижеследующий скрипт:
| Код: |
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FE063DB9-4EC0-403e-8DD8-394C54984B2C}');
DelBHO('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','wincab');
DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_DeleteSvc('wincab');
BC_DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end. |
|
|
| |
|
|
SpeedWay
Озверевший Гонщик
Предупреждений : 6
|
|
Короч, проверил систему AVZ, он нашёл уеву тучу вирусов, и удалил их. После этого не открывался один раздел, так как он снёс файл pagefile.sys. Я его скопировал из другого раздела и усё заработало  Сейчас осталась тока шняга с скрытыми файлами и папками, ну ничё, буду в тотале смотреть 
Огромное спасибо всем, кто помогал, а отдельное спасибо Guu-chan
ЗЫ Guu-chan первая девушка, разбирающаяся в компах....  |
|
| |
|
|
GreenDay
Гуру
 |
|
| SpeedWay писал(а): |
| ЗЫ Guu-chan первая девушка, разбирающаяся в компах.... |
Тока это не девушка  ! |
|
| |
|
|
SpeedWay
Озверевший Гонщик
Предупреждений : 6
|
|
GreenDay
Да  ? помойму раньше был значёк женский....
Тогда сорри....  |
|
| |
|
|
SpeedWay
Озверевший Гонщик
Предупреждений : 6
|
|
О, терь при помощи
| SpeedWay писал(а): |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
сменить на 1. |
усё заработало |
|
| |
|
|
Guu-chan
Гуру
|
|
| GreenDay писал(а): |
| Тока это не девушка lol ! |
.....ты раскрыл меня. Теперь мне придется тебя убить *серьезно* Ты слишком много знаешь.
| SpeedWay писал(а): |
Да Embarassed ? помойму раньше был значёк женский....
Тогда сорри.... Sorry |
Извиняться не за что, если уж совсем по-честному XDDD
Сделайте новый лог Хайджека и посмотрите, если пропала ли эта строчка
| Код: |
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe |
Если ее больше нет, значит, все у вас точно в порядке, можете спать спокойно)
Если еще нужна будет помощь - обращайтесь XD |
|
| |
|
|
SpeedWay
Озверевший Гонщик
Предупреждений : 6
|
|
| Guu-chan писал(а): |
Если ее больше нет, значит, все у вас точно в порядке, можете спать спокойно)
Если еще нужна будет помощь - обращайтесь XD |
Лог делал, всё ОК.
Ещё раз ОГРОМНОЕ СПАСИБО!  |
|
| |
|
|
AlexRock
Гуру
 |
|
| SpeedWay писал(а): |
| Сейчас осталась тока шняга с скрытыми файлами и папками, ну ничё, буду в тотале смотреть |
| SlavMaster писал(а): |
| а скрытые всё также не отображаются.... Я уже в принципе смирился с этим, смотрю их через тотал командер если надо |
Хе-хе, уже эпидемия какая-то  . У мну подобная вирусня тоже самое сделала. Я так и не смог найти в реестре ключ для включения отображения скрытых папок и файлов. Тоже через Тотал смотрю.
Guu-chan
Где научилась (скрипты и всё такое)? Неужто в школе?
ЗЫ. Поздравляю с разбаном. |
|
| |
|
|
SpeedWay
Озверевший Гонщик
Предупреждений : 6
|
|
| AlexRock писал(а): |
| Хе-хе, уже эпидемия какая-то . У мну подобная вирусня тоже самое сделала. Я так и не смог найти в реестре ключ для включения отображения скрытых папок и файлов. Тоже через Тотал смотрю. |
Сегодня винт одногруппника от этой шняги избавил))
Мне вот этот ключ подошёл
| SpeedWay писал(а): |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
сменить на 1. |
|
|
| |
|
|
AlexRock
Гуру
|
|
| SpeedWay писал(а): |
Сегодня винт одногруппника от этой шняги избавил))
Мне вот этот ключ подошёл |
А у меня ничего не меняет. Стояла единица - не помогло. Поставил нуль - не помогло. Поставил опять единицу - не помогло. |
|
| |
|
|
|
