Приветствую. С недавнего времени у меня в реестре поселилось вот это:

Автор : [Неизвестно]
Название : msZxsrv32
Возраст : Новая

HKEY_LOCAL_MACHINE\Software\msZxsrv32
HKEY_CLASSES_ROOT\msZxsrv32
HKEY_CLASSES_ROOT\msZxsrv32.1

Подозреваю, что это что-то вредное, да и прикол еще в том — что я не могу удалить его
Сношу в реестре строчки и они снова появляются
ХЕЛП!

pol17 как вариант — поставить касперского версии 6 и выше, включить проактивную защиту, включить мониторинг целостности реестра и посмотреть кто именно туда ти ключи пишет...

pol17
И по имени в Виндовозных каталогах поискать. Лучше — файл-менеджером типа Тотального кмд.
Судя по разнобуковости — что-то вредоносное. Предохраняться надо было. ТщательнЕе.

pol17 Если вирь уже запущен — то удаляй не удаляй — он может заново прописать себя, как и маскировать.

Посему вопрос — записи в реестре удалялись в безопасном режиме ?

Так же во избежании лучше запуспить сведения о системе и глянуть автоматически загружаемые программы. Ибо можно еще и тупо в меню Автозагрузки ссылку поставить

IdeaFix

Каспера я не ставлю. Стоит ДрВеб — специально базы поставил новые — просканировал, он виря не нашел.

U-Nick

Паук предупредил, что вирь или что-то вредное — я нажал УДАЛИТЬ, всегда так делаю, видимо в этот раз вирь более хитрый.

Ptn

Записи удалял НЕ в безопасном режиме, может попробовать в безопасном?
В автоматически загружаемых есть только то что надо и все известное.

По моему этот троян запускает еще 1 страничку ИЕ. Я открываю одну, а он еще одно окно загружает, но оно не коннектится — Невозможно отобразить страницу.

Может поробовать ... забыл Прога есть, сейчас версия 1.6 у нее. Немецкая вроде.

Ptn

В безопасном не удалился.

NEW


Я имел ввиду LavaSoft Ad-aware 6. Или лучше попробовать AVZ?

Просканировал AVZ, msZxsrv32 остался

С помошь проги HijackThis.exe выяснил, что эта зараза запускается из C:\WINDOWS\system32\qxgow07.dll
Файл этот скрытый, удалить его не могу даже из под безопасного режима. Что делать?

удалить из под ДОСа

MBear

Да прикол в том, что у меня НТФС

Зашли эту DLL-ку в антивирусные лаборатории — пусть они придумают к ней лекарство.
А на будущее — перед установкой или использованием чего-либо стрёмного делай сохранение системы Акронисом или ему подобными программами. Меня это случайно уберегло от триальности Каспера всвязи с занесением ключа в ч.с.

pol17
Попробуй Unlocker'ом разблокировать этот файл и в реестре удалить все записи, в которых найдешь название этого файла.

Makc_68

Хм... сейчас отошлю.

Lucky1978

Что за Unlocker? Какое полное название?

pol17
http://ccollomb.free.fr/unlocker/

pol17 Если есть дистрибутив с видной — грузись с него — от-туда по R в консоль восстоновления и удаляй наздоровье

ОГРОМНОЕ СПАСИБО ВСЕМ!!! С Unlocker'ом все получилось!!!

pol17 писал(а):

---

MBear

Да прикол в том, что у меня НТФС

---

C NTFS можно удалить все права с этого файла и перезагрузиться — тогда ни у кого к нему доступа не будет.

A стать евойным(файла) Хозяином & delete не пролезло????

дату темы посмотри

Тут друг один носил чужой ноут в комп-фирму на лечение и приволок от них некую пр0гу, лечащую реестр — AntiMalware (триальная, интерфейс русский, хелп аглицкий).
Сказали, что весьма полезна...

я этой прогой руткит снёс помимо одного файла который видел др.веб эта прога снесла ещё два и всё нормуль теперь, ФРИИ, PC Tools ThreatFire (http://www.threatfire.com/download/) хорошая прога, всем рекомендую.