LOVE-LEO 0 Опубликовано 28 ноября, 2008 Share Опубликовано 28 ноября, 2008 (изменено) Чтоже товарищи проблема в следующеm: Удалено вирус Rootkit.Win32.Protector.bd C:\System Volume Information\_restore{70F88B90-F9C6-4434-AB92-C131584074E4}\RP72\A0013262.sys (И так 5 штук меняется только имя sys файла...) AVP его "вроде" как успешно удаляет, но как только происходит ребут системы, файл благополучно восстанавливается, вот его лога 2. Подскажите как уБрать зверёныша... Пробывал Авиру, ДрВеб, НоД, все находят а удалить не могут... Надеюсь поможите... логи в процесе... не сильно ругаемся, может кто знает более быстрый способ лечения сие твари) http://zalil.ru/upload/26381397 http://zalil.ru/upload/26381398 Изменено 29 ноября, 2008 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
MedvedevUnited 230 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Здравствуйте. Логи предоставить действительно нужно. А конкретно по данному случаю дам такую рекомендацию: отключите восстановление системы. Указанный Вами файл находится в резервном хранилище операционной системы. Цитата Ссылка на сообщение Поделиться на другие сайты
LOVE-LEO 0 Опубликовано 29 ноября, 2008 Автор Share Опубликовано 29 ноября, 2008 Здравствуйте. Логи предоставить действительно нужно. А конкретно по данному случаю дам такую рекомендацию: отключите восстановление системы. Указанный Вами файл находится в резервном хранилище операционной системы. Спасибо за попытку помочь, однако такая идея меня тоже посещала. Да, действительно зверёныш умирает, но возвратив обратно востановление ситсемы, эти файлы вновь всплывают... Оч странно... Вот собственно и долгожданные логи! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Цитата Ссылка на сообщение Поделиться на другие сайты
MedvedevUnited 230 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 (изменено) Это значит, что система заражена. Думаю, это подтвердят наши специалисты, проверив логи. Изменено 29 ноября, 2008 пользователем MedvedevUnited Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Ничего странного комп заражен. Отключите восстановление системы. Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5pvxx.sys. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); BC_ImportAll; BC_DeleteSvc('ati7bhxx'); BC_DeleteSvc('ati4pvxx'); BC_DeleteSvc('ati4kpxx'); BC_DeleteSvc('ati2wcxx'); BC_DeleteSvc('ati0syxx'); BC_DeleteSvc('ati5pvxx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. в письме укажите ссылку на тему Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
LOVE-LEO 0 Опубликовано 29 ноября, 2008 Автор Share Опубликовано 29 ноября, 2008 (изменено) Отправил всё на почту, а востановление системы можно вулючить теперь? (Прошлый раз, когда было отключено востановление ситемы вири тоже не палились, но как только кулючаем востановление сразу появляются вири) Зеркало карантина Повторно логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis1.rar Изменено 29 ноября, 2008 пользователем LOVE-LEO Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Можно включать, в логах чисто. Цитата Ссылка на сообщение Поделиться на другие сайты
LOVE-LEO 0 Опубликовано 30 ноября, 2008 Автор Share Опубликовано 30 ноября, 2008 Благодарю всех участников за помошь! Цитата Ссылка на сообщение Поделиться на другие сайты
LOVE-LEO 0 Опубликовано 1 декабря, 2008 Автор Share Опубликовано 1 декабря, 2008 У меня возник вопрос, а когда будет АVP граматно удалять "мой" вирус? Или подобное заражение будет лечится только через выше указаные скрипты? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.