Без антивируса

[FilipFray]

HKEY_CLASSES_ROOT\Folder\shell
Значения параметра "По умолчанию" должно быть пустое "значение не присвоено"

Цитата:

в автозагрузке появляеться новый процес — ohlwef

В ключе run или в диспетчере задач?

В avz лучше сделайте нижеуказанное:

Обязательно произведите обновление баз!

Закройте все работающие программы. Отключите защитное П.О. (антивирусы и фаерволы).

Запустите AVZ. Выберите меню “Файл - Стандартные скрипты”, где следует поставить галочку напротив пункта №2 (Скрипты сбора информации для раздела "Помогите" virusinfo.info) и нажмите Выполнить отмеченные скрипты. После появления окошка с надписью Скрипты выполнены, в папке с AVZ появится папка с именем LOG, в которой будет архив с именем virusinfo_syscheck.zip, который следует добавить к вашему сообщению. Обязательно перезагрузите компьютер.

[Slavik]

НАШЕЛ!А как его можно открыть? С помощю какой программы?
Открыл блокнотом:

Код:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии 
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x

127.0.0.1       localhost

[Sazary]

Slavik, если это все, то нормально.
Выполните остальные рекомендации )

[Slavik]

Только что проверил диск С с помщю АВЗ. Выпесал следующее:

Код:

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [B7BAF16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [B7BAEFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный

FileSystem\ntfs[IRP_MJ_CREATE] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A79C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A79C1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89A191F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89A191F8 -> перехватчик не определен

Что ето должно значить?

[Slavik]

Ребята подскажите что это такое!

[FilipFray]

Цитата:

Что ето должно значить?

Можно не обращать внимания. Это ntfs потоки, ИМХО.

[Sazary]

Slavik, а вы Cureit'ом прошлись?
И что там с нодом? По-прежнему не обновляется? Может, все-таки, дело в ключе?

Посмотрите еще вот это: Как удалить вирус autorun?

[Slavik]

Доброго утра.Прошолся, но не понимаю что он мне сказал. Почемуто сегодня на сайте адо было авторизоваться, и язык сайта поменялся на английский??

[Bearw08]

Slavik
cm.-
http://programmersforum.ru/showthread.php?t=50260

[Slavik]

Нашел! Вирус нашел: C:\WINDOWS\system32\nmdfgds0.dll. Мне сказал об этом Cureit. Потом проверил онлайн антивирусами...Но как его вылечить? Прошу совета у вас, знатоки