LOVE-LEO Опубликовано 28 ноября, 2008 Опубликовано 28 ноября, 2008 (изменено) Чтоже товарищи проблема в следующеm: Удалено вирус Rootkit.Win32.Protector.bd C:\System Volume Information\_restore{70F88B90-F9C6-4434-AB92-C131584074E4}\RP72\A0013262.sys (И так 5 штук меняется только имя sys файла...) AVP его "вроде" как успешно удаляет, но как только происходит ребут системы, файл благополучно восстанавливается, вот его лога 2. Подскажите как уБрать зверёныша... Пробывал Авиру, ДрВеб, НоД, все находят а удалить не могут... Надеюсь поможите... логи в процесе... не сильно ругаемся, может кто знает более быстрый способ лечения сие твари) http://zalil.ru/upload/26381397 http://zalil.ru/upload/26381398 Изменено 29 ноября, 2008 пользователем Falcon
MedvedevUnited Опубликовано 29 ноября, 2008 Опубликовано 29 ноября, 2008 Здравствуйте. Логи предоставить действительно нужно. А конкретно по данному случаю дам такую рекомендацию: отключите восстановление системы. Указанный Вами файл находится в резервном хранилище операционной системы.
LOVE-LEO Опубликовано 29 ноября, 2008 Автор Опубликовано 29 ноября, 2008 Здравствуйте. Логи предоставить действительно нужно. А конкретно по данному случаю дам такую рекомендацию: отключите восстановление системы. Указанный Вами файл находится в резервном хранилище операционной системы. Спасибо за попытку помочь, однако такая идея меня тоже посещала. Да, действительно зверёныш умирает, но возвратив обратно востановление ситсемы, эти файлы вновь всплывают... Оч странно... Вот собственно и долгожданные логи! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar
MedvedevUnited Опубликовано 29 ноября, 2008 Опубликовано 29 ноября, 2008 (изменено) Это значит, что система заражена. Думаю, это подтвердят наши специалисты, проверив логи. Изменено 29 ноября, 2008 пользователем MedvedevUnited
ТроПа Опубликовано 29 ноября, 2008 Опубликовано 29 ноября, 2008 Ничего странного комп заражен. Отключите восстановление системы. Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5pvxx.sys. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); BC_ImportAll; BC_DeleteSvc('ati7bhxx'); BC_DeleteSvc('ati4pvxx'); BC_DeleteSvc('ati4kpxx'); BC_DeleteSvc('ati2wcxx'); BC_DeleteSvc('ati0syxx'); BC_DeleteSvc('ati5pvxx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. в письме укажите ссылку на тему Повторите логи.
LOVE-LEO Опубликовано 29 ноября, 2008 Автор Опубликовано 29 ноября, 2008 (изменено) Отправил всё на почту, а востановление системы можно вулючить теперь? (Прошлый раз, когда было отключено востановление ситемы вири тоже не палились, но как только кулючаем востановление сразу появляются вири) Зеркало карантина Повторно логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis1.rar Изменено 29 ноября, 2008 пользователем LOVE-LEO
LOVE-LEO Опубликовано 30 ноября, 2008 Автор Опубликовано 30 ноября, 2008 Благодарю всех участников за помошь!
LOVE-LEO Опубликовано 1 декабря, 2008 Автор Опубликовано 1 декабря, 2008 У меня возник вопрос, а когда будет АVP граматно удалять "мой" вирус? Или подобное заражение будет лечится только через выше указаные скрипты?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти