Denver Опубликовано 12 октября, 2008 Опубликовано 12 октября, 2008 Здравствуйте, у меня проблема такая: Запустил антивирус касперского на очердную проверку. Нашёл он вирус и пишет что для его удаления потребуется специальная процедура удаления, перезагружается и я запускаю снова на проверку опять находит этот вирус и так каждый раз. Вот сообщения которые он выводит: удалено: троянская программа Trojan-Downloader.Win32.Mutant.aim Файл: c:\windows\system32\drivers\wincj52.sys 09.10.2008 19:27:08 Файл: c:\windows\system32\drivers\winkr43.sys обнаружено: троянская программа 'Trojan-Downloader.Win32.Mutant.aim' 09.10.2008 19:27:10 Объект автозапуска: HKLM\System\ControlSet001\Services\Winkr43\Winkr43 удален 09.10.2008 19:27:11 Объект автозапуска: HKLM\System\ControlSet002\Services\Winkr43\Winkr43 удален 09.10.2008 19:27:12 Файл: c:\windows\system32\drivers\winkr43.sys удален удалено: троянская программа Trojan-Downloader.Win32.Mutant.aim Файл: C:\WINDOWS\System32\drivers\Winkr43.sys Помогите пожалуйста! вот ещё файл virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar
Falcon Опубликовано 12 октября, 2008 Опубликовано 12 октября, 2008 (изменено) Здравствуйте! Скачайте IceSword. Прибиваем в нем: C:\WINDOWS\System32\Drivers\Wincj52.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\System32\Drivers\ati1cjxx.sys Как это сделать? -Запустите программу. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита. -Нажмите по нему правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". Пофиксить в HJT: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\twext.exe, O4 - HKLM\..\Run: [mcapnqhh] %systemroot%\mcapnqhh.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll Выполнить в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('C:\WINDOWS\system32\locator.exe'); QuarantineFile('C:\WINDOWS\system32\twext.exe',''); QuarantineFile('C:\WINDOWS\mcapnqhh.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wincj52.sys',''); QuarantineFile('C:\WINDOWS\system32\msansspc.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\62.exe',''); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati1cjxx.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\78837708.sys',''); QuarantineFile('C:\WINDOWS\system32\locator.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\906.exe',''); DeleteService('tcpsr'); DeleteService('Kry31'); DeleteService('Rbi07'); DeleteService('ati1cjxx'); DeleteService('Wincj52'); DeleteService('SamSsMessenger'); DeleteService('RasManlanmanserver'); DeleteFile('C:\WINDOWS\mcapnqhh.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\msansspc.dll'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincj52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rbi07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kry31.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winkr43.sys'); DeleteFile('E:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\twext.exe'); BC_ImportAll; BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Kry31'); BC_DeleteSvc('Rbi07'); BC_DeleteSvc('ati1cjxx'); BC_DeleteSvc('Wincj52'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Карантин отправьте на newvirus@kaspersky.com. Логи повторите, ответ вирлаба сообщите. Изменено 12 октября, 2008 пользователем Falcon
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти