Перейти к содержанию
Правила раздела

Троян в папке Drivers

rumek

От rumek
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

rumek Новичок

rumek

Опубликовано
Опубликовано

Доброй ночи ! У меня такая проблемма заразили флешку 15.09.2008 20:29:58 Real-time file system protection file H:\= ПОРНО ВИДЕО =\Электрошок\ВИДЕО - Электрошок.exe Win32/PornRun.B worm NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE. не знаю правильно ли я это описал . После очистки флешки антивирусом я пользуюсь NOD 32 версия 3.0.560 базы обновляю регулярно . флешка перестала отвечать на запросы пришлось форматировать не помогло пришлось использовать спец софт для лечения всё вроде норм. НО теперь при каждой перезагрузке системы антивирь находит вирус постоянно с разным именем но всегда в одной и той же папке Drivers например: C:\WINDOWS\System32\drivers\Cio16.sys Win32/Wigon.ER trojan \?\C:\WINDOWS\System32\svchost.exe. или 17.09.2008 9:57:06 Real-time file system protection file C:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY trojan C:\WINDOWS\System32\svchost.exe. и так до бесконечности перестал работать IE плохо работает OPERA страници открываются медленно а менеджер заакачек качает с нормальной скоростью . Пользовательское сканирование никаких результатов не приносит .Конечно можно сделать откат Acronis или переставить систему но это слишком просто .Помогите

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ygl38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pub17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cio16.sys','');
QuarantineFile('c:\windows\system32\cpl32ver.exe','');
TerminateProcessByName('c:\windows\system32\cpl32ver.exe');
DeleteFile('c:\windows\system32\cpl32ver.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Cio16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pub17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ygl38.sys');
BC_ImportAll;
BC_DeleteSvc('Cio16');
BC_DeleteSvc('Pvc85');
BC_DeleteSvc('Pub17');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Ygl38');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

В АВЗ выполните:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Пришлите quarantine.zip из папки с АВЗ - на адрес 54712@rambler.ru в письме укажите ссылку на тему.

 

Повторите логи.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
Олег777 Гигант мысли

Олег777

Опубликовано
Опубликовано

Здравствуйте!

А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт? :beby:

Я бы Вам посоветовал скачать бесплатную лечащую утилиту отсюда:

 

http://dnl-eu12.kaspersky-labs.com/devbuilds/AVPTool/

 

И проверить с помощью неё компьютер из Безопасного режима.

Ну и, в дальнейшем, переходите на продукцию ЛК.

Если Вы зарегистрированный лицензионный пользователь нод32, то переход на антивирус касперского будет для Вас с 50% скидкой!

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано
А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт?

Можно предположить, что у них с поддержкой туго.

Ссылка на комментарий
Поделиться на другие сайты
rumek Новичок

rumek

Опубликовано
  • Автор
Опубликовано

WIse-wistful большое человеческое спасибо ! За помощь и участие ! Выполнил все твои указания вроде заработало отлично ! Выкладываю новые логи если есть пара свободных минут несколько слов о способах заражения. Еще раз СПАСИБО !

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Это что такое? :beby:

C:\Documents and Settings\Виталик\Local Settings\Application Data\CyberDefender\cdmyidd.dll

C:\WINDOWS\system32\Drivers\appdrv01.sys

 

P.S. Модуль MyCentria выжил.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Ещё не всё.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oub52.sys','');
QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll','');
DeleteFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Oub52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys');
BC_ImportAll;
BC_DeleteSvc('Oub52');
BC_DeleteSvc('Vdj06');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus.

 

 

2.Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
rumek Новичок

rumek

Опубликовано
  • Автор
Опубликовано

Огромное Вам спасибо всем кто участвовал в операции по"Спасению " моего компа !! Отдельное СПАСИБО wise-wistful за небезразличное отношение ! Спасибо всё работает !

Ссылка на комментарий
Поделиться на другие сайты
Олег777 Гигант мысли

Олег777

Опубликовано
Опубликовано

А мне вот интересно: вы по-прежнему пользуетесь ESET NOD32 или убедились на собственном опыте, что не такой-то он и надежный и решили переходить на продукцию Лаборатории Касперского? Честно, чисто спортивный интерес...

Ссылка на комментарий
Поделиться на другие сайты
rumek Новичок

rumek

Опубликовано
  • Автор
Опубликовано

Олег777 Всё не итак просто как кажется на первый взгляд . Я не оспариваю отличной работы Лаборратории Касперского и её програмного обеспечения .Но преимущество очевидно , только в чём ? В способностях и умении отдельных Людей которые проявили интерес к решению проблеммы я имею ввиду : wise-wistful, Гриша, Falcon . но ведь сам по себе AVZ не нашол проблему без спец скриптов .Олег777 я надеюсь, что я не вызвал у Вас раздражение своим ответом ?( Пробовал я у меня машина тупит и виснет , мощьный он слишком )

Ссылка на комментарий
Поделиться на другие сайты
Kapral Мудрец

Kapral

Опубликовано
Опубликовано

Т.е. при установке КИС2009 наблюдаются тормоза на компе?

А какой конфигурации компьютер?

Возможно мы сможем настроить на нормальной работы, поверьте опыт у нас в этом богатый

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Dairoku69_
      [РЕШЕНО] Майнер (и возможно троян) после установки утилиты "Zapret"
      От Dairoku69_
      Попыталась обойти замедление дискорда и ютуба, а наткнулась на майнер и возможно ещё на троян. Сами файлы утилиты я уже удалила, но на устройстве появился майнер и угроза названая трояном в Kaspersky Standart, при этом сам антивирус их удалить не смог. Проверяла систему Dr.Web Curelt, KVRT, первый нашёл и почистил только мелкие файлы, не относящиеся к майнеру с утилиты, второй вообще ничего не нашёл.
       
      Логи:
      CollectionLog-2024.12.13-05.23.zip
       
    • ГГеоргий
      BSOD после установки File: \Windows\System32\DRIVERS\Klelam.sys
      От ГГеоргий
      В процессе локальной установки  КЕС на устройство, оно выключилось и включилось уже с синим экраном
      error code 0xc00000f 
       "The operating system couldnt be loaded because a critical driver  missing or contains error" File: \Windows\System32\DRIVERS\Klelam.sys.
      в Safemode зайти не удается - всё равно выкидывает ошибку
      точки восстановления нет
      что делать? 
      мы ставили на два идентичных устройства до этого - всё прошло успешно
       
×
×
  • Создать...