Системные файлы в корне диска (uxdeiect.com, xn1i9x.com и др), которые не удаляются.

**Marygold** · 25.01.2008, 16:58

Ситуация аналогична описанной в этой теме. В корне всех дисков лежат системные файлы, которые видно только через тотал коммандер. (В проводнике галочка "показывать системные файлы" после нажатия ОК самовольно ставится обратно и файлы не видно.)
Названия файлов типа pagefile.sys uxdeiect.com xn1i9x.com и т.д., был еще d.com, но удалился после проверки DrWeb - CureIT!, остальные так и остались.
Диски из моего компьютера открываются в новом окне.
Антивирус стоит аваст, обновляется периодически, но с вышеуказанными файлами бороться не желает. Прикрепляю логи AVZ и HijackThis.
Помогите пожалуйста удалить все эти файлы с жестких дисков и научите как обезопасить себя от их повторного нападения.
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 25.01.2008, 17:14

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('M:\autorun.inf','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**Marygold** · 25.01.2008, 17:41

Карантин отослала. После всех процедур стали отображаться все файлы, но остались
на диске С
awda2.exe
boot.ini
Bootfont.bin
CONFIG.SYS
hiberfil.sys
IO.SYS
juok3st.bat
MSDOS.SYS
nideiect.com
NTDETECT.COM
ntldr
pagefile.sys
PANDA.RPT
qd.cmd
semo2x.exe
tio8x6.cmd
uxdeiect.com
xn1i9x.com
~FLWINST.TMP

на остальных:
awda2.exe
juok3st.bat
nideiect.com
pagefile.sys
qd.cmd
semo2x.exe
tio8x6.cmd
uxdeiect.com
xn1i9x.com

Какие из них нужные системные, и что делать с остальными?

**V_Bond** · 25.01.2008, 19:13

awda2.exe
juok3st.bat
nideiect.com
qd.cmd
semo2x.exe
tio8x6.cmd
uxdeiect.com
xn1i9x.com .... пришлите по правилам
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\qd.cmd');
 DeleteFile('D:\qd.cmd');
 DeleteFile('E:\qd.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

**Marygold** · 29.01.2008, 13:09

Отослала файлы. Выполнил скрипт. Логи прикрепляю.

**V_Bond** · 29.01.2008, 14:49

выполните скрипт ....

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('zxsderfbukjfys');
 QuarantineFile('zxsderfbukjfys.sys','');
 QuarantineFile('Dpccddmmpem.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\xsderfbukjfys.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Dpccddmmpem.sys','');
 DeleteFile('C:\WINDOWS\system32\amvo1.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFile('M:\autorun.inf');
 BC_QrSvc('zxsderfbukjfys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**Marygold** · 29.01.2008, 15:39

Выполнила скрипт, отослала карантин.
Галочка "скрывать системные файлы" снята, а "показывать скрытые файлы "в проводнике опять не хочет ставиться.

**CyberHelper** · 22.02.2009, 03:39

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 25
В ходе лечения обнаружены вредоносные программы:
1. c:\\autorun.inf - Worm.Win32.AutoRun.cbi (DrWEB: Win32.HLLW.Autoruner.1229)
2. c:\\documents and settings\\lo\\doctorweb\\quarantine\\a0056813.exe - Worm.Win32.RJump.a (DrWEB: Win32.HLLW.Peerav)
3. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.pno (DrWEB: Trojan.MulDrop.6474)
4. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.qoc (DrWEB: Trojan.PWS.Wsgame.2387)
5. d:\\autorun.inf - Worm.Win32.AutoRun.cbi (DrWEB: Win32.HLLW.Autoruner.1229)
6. e:\\autorun.inf - Worm.Win32.AutoRun.cbi (DrWEB: Win32.HLLW.Autoruner.1229)
7. m:\\autorun.inf - Worm.Win32.AutoRun.cbi (DrWEB: Win32.HLLW.Autoruner.1229)
8. \\qd.cmd - Trojan-GameThief.Win32.OnLineGames.pno (DrWEB: Trojan.MulDrop.6474)
9. \\xn1i9x.com - Trojan-GameThief.Win32.OnLineGames.phx (DrWEB: Trojan.MulDrop.6474)

Системные файлы в корне диска (uxdeiect.com, xn1i9x.com и др), которые не удаляются. (заявка № 16985)

Опции темы

Системные файлы в корне диска (uxdeiect.com, xn1i9x.com и др), которые не удаляются.

Итог лечения

Похожие темы

Файлы(khs,khx) в корне диска

Удаляются системные файлы.

В корне диска появляются файлы

Неизвестные файлы в корне диска

Файлы autorun.inf в корне диска

Ваши права в разделе