LOVE-LEO Опубликовано 28 ноября, 2008 Share Опубликовано 28 ноября, 2008 (изменено) Чтоже товарищи проблема в следующеm: Удалено вирус Rootkit.Win32.Protector.bd C:\System Volume Information\_restore{70F88B90-F9C6-4434-AB92-C131584074E4}\RP72\A0013262.sys (И так 5 штук меняется только имя sys файла...) AVP его "вроде" как успешно удаляет, но как только происходит ребут системы, файл благополучно восстанавливается, вот его лога 2. Подскажите как уБрать зверёныша... Пробывал Авиру, ДрВеб, НоД, все находят а удалить не могут... Надеюсь поможите... логи в процесе... не сильно ругаемся, может кто знает более быстрый способ лечения сие твари) http://zalil.ru/upload/26381397 http://zalil.ru/upload/26381398 Изменено 29 ноября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты More sharing options...
MedvedevUnited Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Здравствуйте. Логи предоставить действительно нужно. А конкретно по данному случаю дам такую рекомендацию: отключите восстановление системы. Указанный Вами файл находится в резервном хранилище операционной системы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
LOVE-LEO Опубликовано 29 ноября, 2008 Автор Share Опубликовано 29 ноября, 2008 Здравствуйте. Логи предоставить действительно нужно. А конкретно по данному случаю дам такую рекомендацию: отключите восстановление системы. Указанный Вами файл находится в резервном хранилище операционной системы. Спасибо за попытку помочь, однако такая идея меня тоже посещала. Да, действительно зверёныш умирает, но возвратив обратно востановление ситсемы, эти файлы вновь всплывают... Оч странно... Вот собственно и долгожданные логи! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
MedvedevUnited Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 (изменено) Это значит, что система заражена. Думаю, это подтвердят наши специалисты, проверив логи. Изменено 29 ноября, 2008 пользователем MedvedevUnited Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Ничего странного комп заражен. Отключите восстановление системы. Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5pvxx.sys. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); BC_ImportAll; BC_DeleteSvc('ati7bhxx'); BC_DeleteSvc('ati4pvxx'); BC_DeleteSvc('ati4kpxx'); BC_DeleteSvc('ati2wcxx'); BC_DeleteSvc('ati0syxx'); BC_DeleteSvc('ati5pvxx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. в письме укажите ссылку на тему Повторите логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
LOVE-LEO Опубликовано 29 ноября, 2008 Автор Share Опубликовано 29 ноября, 2008 (изменено) Отправил всё на почту, а востановление системы можно вулючить теперь? (Прошлый раз, когда было отключено востановление ситемы вири тоже не палились, но как только кулючаем востановление сразу появляются вири) Зеркало карантина Повторно логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis1.rar Изменено 29 ноября, 2008 пользователем LOVE-LEO Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Можно включать, в логах чисто. Ссылка на комментарий Поделиться на другие сайты More sharing options...
LOVE-LEO Опубликовано 30 ноября, 2008 Автор Share Опубликовано 30 ноября, 2008 Благодарю всех участников за помошь! Ссылка на комментарий Поделиться на другие сайты More sharing options...
LOVE-LEO Опубликовано 1 декабря, 2008 Автор Share Опубликовано 1 декабря, 2008 У меня возник вопрос, а когда будет АVP граматно удалять "мой" вирус? Или подобное заражение будет лечится только через выше указаные скрипты? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти