53 ответов в этой теме

[jamil]

systems.exe, возможно этот:
C:\Documents and Settings\All Users\systems.exe ?

Да, помогло удаление этого файла

Во вложении скрин, как выглядит банер.

Так я и не понял, куда куреит пишет логи...

Сообщение было изменено userr: 02 Май 2010 - 12:57
убрал девочек. больше так не делайте

[jamil]

Что мне еще нужно сделать?

[Алексей.]

Что мне еще нужно сделать?

1. Сделайте все как в Правилах раздела "Помощь по лечению"(заголовок вверху)
2.Когда придет номер тикета(вида [drweb.com#...] ) напишите его здесь.

[userr]

Ваш куреит не лечит и не перемещает файлы!
Только находит, а при попытке переместить выдает "заданный режим работы не поддерживается лиц. ключами"
разумеется вирусы там где они и были
Что делать?

первый раз такое слышу. Расскажите подробно, что делали, где брали cureit - точную ссылку. хорошо бы скриншот.
лог cureit здесь "c:\Documents and Settings\<Username>\DoctorWeb\CureIt.log" . приложите его в архиве.

и сделайте логи по правилам http://forum.drweb.com/index.php?showtopic=277652

надо до проверки отключить восстановление системы
http://support.microsoft.com/kb/310405/ru

[jamil]

Логи вложил.

Тикет [drweb.com #1270630].

А дело было так

cureit бету взял здесь http://beta.drweb.com/files/?p=%2Fcureit&unreg=t, как мне посоветовали в начале темы.
В безопасном режиме он не захотел ничего лечить, пришлось загрузиться под другой виндой и удалить файл ручками Settings\All Users\systems.exe. Помогло.

Затем загрузился под основной виндой (где был банер) и запустил тотже cureit бету. Теперь он все файлы удалил нормально.

Прикрепленные файлы:

•  hijackthis.rar   3,32К   14 Скачано раз
•  drw_results.cab   23,83К   15 Скачано раз

[jamil]

Лог Cureit

Прикрепленные файлы:

•  CureIt.rar   88,06К   13 Скачано раз

[jamil]

>Reason for edit: убрал девочек. больше так не делайте

Ну я как лучше хотел, для идентификации вредителя.

[EvgenWL]

RKU новая версия http://www.rootkit.com/vault/DiabloNova/RkU3.8.388.590.rar
русский язык для неё http://www.rootkit.com/vault/DiabloNova/local.rar

[jamil]

Лог RKU

Прикрепленные файлы:

•  Report.rar   5,65К   82 Скачано раз

[jamil]

что еще?

Файл C:\Documents and Settings\All Users\systems.exe сюда прикрепить?

[userr]

Файл C:\Documents and Settings\All Users\systems.exe сюда прикрепить?

конечно нет, нельзя постить вирусы на форум.

[maxic]

что еще?

Файл C:\Documents and Settings\All Users\systems.exe сюда прикрепить?

Сюда - номер тикета, пришедший на почту при отсылке файла в вирлаб. Имеет вид drweb.com#

[userr]

jamil
http://forum.drweb.com/index.php?showtopic...st&p=408070

экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
сделайте, пожалуйста, и в архиве приложите сюда.

[jamil]

На почту пришло сообщение:

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Winlock.1524


Мне что-то нужно делать еще?
Остались у меня на компе вирусы/трояны или нет?

[userr]

jamil
надо до проверки отключить восстановление системы
http://support.microsoft.com/kb/310405/ru
сделали ?

давайте новый лог сканера, как я только что писал. перед проверкой
- обновить drweb
- отключить инет
- закрыть "лишние" программы

после проверки почистить временные файлы

всё это подробно в правилах описано.

[SergM]

jamil
На сообщение #33 ответьте

[jamil]

jamil
http://forum.drweb.com/index.php?showtopic...st&p=408070

Вот это я не понял к чему

экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
сделайте, пожалуйста, и в архиве приложите сюда.

ок, во вложении

Прикрепленные файлы:

•  AppPaths.rar   2,53К   14 Скачано раз

[jamil]

jamil
надо до проверки отключить восстановление системы
http://support.microsoft.com/kb/310405/ru
сделали ?

да

давайте новый лог сканера, как я только что писал. перед проверкой
- обновить drweb
- отключить инет
- закрыть "лишние" программы

после проверки почистить временные файлы

всё это подробно в правилах описано.

обновить drweb как?
Синхронизировать -> все компоненты ?

[jamil]

Сюда - номер тикета, пришедший на почту при отсылке файла в вирлаб. Имеет вид drweb.com#

Тикет [drweb.com #1270630].

[SergM]

обновить drweb как?

Если он у Вас установлен, то нажать "Обновление" в контекстном меню агента. Если не установлен, то скачать свежий CureIt!