-
Junior Member
- Вес репутации
- 59
помогите удалить 2688454885 файл в потоке НТФС
не могу удалить файл в потоке НТФС 2688454885:443531615.exe:$DATA
который сидит в c:\WINDOWS\
позволил мне сделать один только лог АВЗ.
Malwarebytes' не запускается.
HijackThis запускается, и сразу закрывается.
Не дает проверить компьютер различными антивирусниками
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Powl, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
QuarantineFile('c:\windows\2688454885:443531615.exe','');
QuarantineFile('c:\windows\2688454885:443531615.exe:$DATA','');
DeleteFile('c:\windows\2688454885:443531615.exe:$DATA');
DeleteFile('c:\windows\2688454885:443531615.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Проскнируйте ПК этой утилитой и удалите--http://support.kaspersky.ru/faq/?qid=208639606
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 59
Все сделал. везде пишеться, что успешно, но снова появляется после перезагрузки.
Новый лог. В авз удается только его сделать
-
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 59
Вот лог. Что интересно, TDSS нашел файл зараженный C:\WINDOWS\system32\drivers\redbook.sys.
И вот после перезагрузки файл C:\WINDOWS\2688454885 опять присутствует, и запустил TDSS он нашел 2 файла - опять C:\WINDOWS\2688454885 и C:\WINDOWS\system32\drivers\mrxsmb.sys. И если я выберу, как выбирал на первый - удалить, на второй - лечить, то после перезагрузки - будет другой файл C:\WINDOWS\system32\drivers\имя_файла.sys
Пока не продолжал TDSS ничего делать.
-
Скачайте новый TDSSKiller--http://support.kaspersky.ru/faq/?qid=208639606
Просканируйте и удалите файл зловреда, файл драйвера лечить.
-
-
Junior Member
- Вес репутации
- 59
То же самое, после перезагрузки - файл драйвера C:\WINDOWS\system32\drivers\afd.sys заражен. Вот лог
-
Скачайте OSAM, дождитесь окончания сканирования, лог в виде html упакуйте в zip-архив и прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 59
В начале сканирования он закрывается - как делается и с Trend Micro HijackThis 2.0.2, и с MBAM, и с DrWeb cureit и другими.
-
Пробуйте сделать лог Gmer
-
-
Junior Member
- Вес репутации
- 59
После открытия Gmer компьютер ушел в ребут. Чувствую, прийдется прибегнуть к кардинальным мерам.
-
Используйте LiveCD, удалите файл зловреда, инфицированный драйвер не трогать. Затем запустите TDSSKiller и пробуйте вылечить
-
-
Junior Member
- Вес репутации
- 59
Да, использовал. Удалял. Даже с LiveCD подключался к реестру (вроде Regedit PE) и чистил с реестра там сервис (всю папку удалял) e5903ea0 - именно там было прописано c:\windows\2688454885:443531615.exe:$DATA.
Как ни странно, перезагружался, файл опять появлялся.
В общем, переустановил систему. Тем более, к Интернету не мог уже подключаться почему-то. Блин, как долго теперь все программы ставить. Спасибо за помощь и поддержку. Почти победили.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\2688454885:443531615.exe - Backdoor.Win32.ZAccess.ob ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )
- c:\\windows\\2688454885:443531615.exe:$data - Backdoor.Win32.ZAccess.ob ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )
-