Прочее компьютерное
Вирус постоянно загружает файлы в корневую папку C:\Documents and Settings\All Users\Документы
Антивирус Аваст определяет как зараженные файлы уже после их загрузки. Я так понимаю где то (в реестре? ) прописан веб адрес откуда это непотребство влезает (причем ежедневно, с завидной регулярностью!) . Подскажите пожалуйста, как не переустанавливая антивирус (этот пока устраивал) исправить проблему?
Сие явление классифицируется как Trojan-Downloader. Win32.VB.bnp; Лечится так :
1. Отключите ПК от локальной и Глобальной сетей.
2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).
Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске) .
4. Восстановите доступность пункта меню Свойства папки (см.
5. Восстановите запуск Редактора реестра
6. Восстановите запуск Утилиты настройки системы msconfig (см. Windows: что делать, если не запускается Утилита настройки системы msconfig?).
7. Восстановите запуск Диспетчера задач
8. Восстановите отображение скрытых файлов и папок (см. Windows: как отобразить скрытые файлы и папки?) .
9. Удалите (если их не уничтожил антивирус) следующие файлы:
– в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
– flash.scr, <имя_папки>.exe и <имя_папки>.scr (в том числе – \Documents and Settings\All Users\Документы\Documents.scr, \WINDOWS\system32\system32.scr, \Program Files\Program Files\Program Files.scr, \Documents and Settings\<Имя_пользователя>\<Имя_пользователя>.scr, \Мои документы\Мои документы. scr, \Мои документы\Мои рисунки\Мои рисунки. scr, \Documents and Settings\<Имя_пользователя>\Главное меню\Программы\Автозагрузка\Автозагрузка. scr;
– \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\AHTOMSYS19.exe;
– \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– \WINDOWS\system32\psador18.dll;
–\WINDOWS\system32\psagor18.sys;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\Burn).
10. Удалите зараженный шаблон Normal.dot. После первого запуска Word'а, он будет создан заново.
11. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и сtfmоn.exe со значением C:\WINDOWS\system32\сtfmon.exe;
– раскройте ветвь [HKEY_CLASSES_ROOT\scrfile], установите значение REG_SZ-параметра по умолчанию – Программа-заставка;
– закройте Редактор реестра.
Удачи в борьбе с заразой! И да прибудет с вами сила !!!
1. Отключите ПК от локальной и Глобальной сетей.
2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).
Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске) .
4. Восстановите доступность пункта меню Свойства папки (см.
5. Восстановите запуск Редактора реестра
6. Восстановите запуск Утилиты настройки системы msconfig (см. Windows: что делать, если не запускается Утилита настройки системы msconfig?).
7. Восстановите запуск Диспетчера задач
8. Восстановите отображение скрытых файлов и папок (см. Windows: как отобразить скрытые файлы и папки?) .
9. Удалите (если их не уничтожил антивирус) следующие файлы:
– в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
– flash.scr, <имя_папки>.exe и <имя_папки>.scr (в том числе – \Documents and Settings\All Users\Документы\Documents.scr, \WINDOWS\system32\system32.scr, \Program Files\Program Files\Program Files.scr, \Documents and Settings\<Имя_пользователя>\<Имя_пользователя>.scr, \Мои документы\Мои документы. scr, \Мои документы\Мои рисунки\Мои рисунки. scr, \Documents and Settings\<Имя_пользователя>\Главное меню\Программы\Автозагрузка\Автозагрузка. scr;
– \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\AHTOMSYS19.exe;
– \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– \WINDOWS\system32\psador18.dll;
–\WINDOWS\system32\psagor18.sys;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\Burn).
10. Удалите зараженный шаблон Normal.dot. После первого запуска Word'а, он будет создан заново.
11. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и сtfmоn.exe со значением C:\WINDOWS\system32\сtfmon.exe;
– раскройте ветвь [HKEY_CLASSES_ROOT\scrfile], установите значение REG_SZ-параметра по умолчанию – Программа-заставка;
– закройте Редактор реестра.
Удачи в борьбе с заразой! И да прибудет с вами сила !!!
Александр Шульга
какой кошмар....да пребудет со мной скорее терпение, чем сила)))...
Папка какая ?
Возможно там кеш твоего браузера
Вот по этому там и вирусы заводятся
Возможно там кеш твоего браузера
Вот по этому там и вирусы заводятся
Andrey Melya
8 139
Александр Шульга
папка указана - C:\Documents and Settings\All Users\Документы, она как-бы не является кэшэм....
У ТЕБЯ ЗАГРУЗЧИК КАЧАЕТ ФАЙЛЫ ИМЕННО В эту ПАПКУ (C:\Documents and Settings\All Users\Документы-эта папка по умолчанию используется многими менеджерами закачек, в том числе встроенными браузерными)), и файлы эти качаешь ТЫ)) ) ,когда закачаешь, Аваст их и определяет как заражённые, NOD32 ОБРЫВАЕТ ЗАГРУЗКУ в процессе, т. к. сразу определяет вирус. Попробуй загрузчику указать другую папку и проверь теми файлами, которые качала. Коряво немного, но правда.)) )
Валерий Вишняков
1 753
Была такая же проблема, юзай mwfix
Похожие вопросы
- Является ли вирусом файл svchost.exe в папке C:\Documents and Settings\All Users\Documents\My Videos\Adobe\Adobe ?
- Не открывается папка C:\Documents and Settings\Мама\Local Settings\Temp
- как проверить антивирусом папку C:\Documents and Settings\ ???
- можно ли удалить C:\Documents and Settings\Сергей\Local Settings\Temp?
- В папке Documents and Settings\%username%\Local Settings\Temp постоянно сидят вирусы типа 435.exe, 64548.exe и т.п.
- У меня в папка documents and settings весит 15 гб, это нормальнно?
- помогите.как вытащить файлы с папки Documents and Settings если на винде был пароль терь винды нет и он пишит (нет дос
- Имя пользователя. Как переименовать папку с моим именем в папке Documents and Settings?
- Люди, помогите! У меня паника! Папка "Documents and settings" на диске D не открывается! Пишет "Отказано в доступе"!
- Что за файлы находятся в папке C:\Windows\winsxs\?