Skif 0 Опубликовано 18 августа, 2009 Share Опубликовано 18 августа, 2009 Не могу удалить этот пакостный вирус. При попытке запустить CureIT комп вырубается. NOD32 не устанавливается. После использования AVZ сообщение "Your computer is infected" вроде исчезло, но файл braviax.exe после перезагрузки снова появляется. и на диске и в процессах. Логи прилагаются. hijackthis.logvirusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 18 августа, 2009 Share Опубликовано 18 августа, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\drivers\693d0ce.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\693d0ce.sys'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end. ПК перезагрузится. Файл ntfs.sys нужно заменить на чистый из дистрибутива: - Загрузитесь в консоли восстановления - На приглашение введите строку: expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения вышенаписанного. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Также ждем логи AVZ (после замены ntfs.sys). Цитата Ссылка на сообщение Поделиться на другие сайты
Skif 0 Опубликовано 20 августа, 2009 Автор Share Опубликовано 20 августа, 2009 (изменено) Спасибо, вроде победил вирусы. Во всяком случае, сообщение не выскакивает и антивирусник установился virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.logGmer.log Изменено 20 августа, 2009 пользователем Skif Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 20 августа, 2009 Share Опубликовано 20 августа, 2009 Пофиксить в HiJack O20 - AppInit_DLLs: cru629.dat Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\_scui.cpl',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\cru629.dat',''); QuarantineFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe',''); DeleteFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe'); DeleteFile('C:\WINDOWS\system32\cru629.dat'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\_scui.cpl'); DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true); DeleteDirectory('C:\Program Files\PC_Antispyware2010'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Скачайте IceSword Распакуйте в отдельную папку и запустите. Выберите Registry. Найдите все строки, в записи которых встречается %fystemRoot%. Замените в эти строках %fystemRoot% на %systemRoot% Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.