Проблема с удалением ovrscn.sys

**vvv** · 18.03.2008, 08:15

Перепробовал все варианты удаления ovrscn.sys и c:\Recycled\userinit.exe с помощью avz, но результата никакого. Видимо что то упустил. После запуска "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" компьютер перегружается в первые 5 секунд поэтому файла virusinfo_syscure.zip в прикрепленных нет.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**wise-wistful** · 18.03.2008, 09:32

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('Xxit59.sys','');
 SetServiceStart('ovrscn', 4);
 StopService('ovrscn');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('Xxit59.sys');
BC_ImportAll;
BC_DeleteSvc('ovrscn');
BC_DeleteSvc('WksPatch');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20012

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll

Повторите логи.

**vvv** · 18.03.2008, 21:48

Предложенный скрипт выполнялся и ранее только без строки
BC_DeleteSvc('WksPatch');
Но и после этого ситуация почти не изменилась кроме логов HijackThis.

Запрошенный файл выслан по указанной ссылке

**wise-wistful** · 18.03.2008, 22:15

Поищите при помощи АВЗ сервис--поиск файлов на диске Xxit59.sys. Нужен полный путь к нему.

Карантин пустой.

Ну ситуация немного поменялась. Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\Recycled\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
 DeleteFile('Xxit59.sys');
 DeleteFile('c:\Recycled\userinit.exe');
BC_ImportAll;
BC_DeleteSvc('ovwscn');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

**vvv** · 20.03.2008, 08:27

Файл Xxit59.sys средствами avz не нашел ни в обычном режиме системы ни в защищенном.

В предложенный скрипт включил наиболее вероятные пути его нахождения.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\Xxit59.sys','');
 QuarantineFile('C:\WINDOWS\system32\Xxit59.sys','');
 SetServiceStart('Xxit59.sys', 4);
 StopService('Xxit59.sys');
 SetServiceStart('ovrscn', 4);
 StopService('ovrscn');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ovrscn.sys'); 
 DeleteFile('C:\WINDOWS\system32\drivers\Xxit59.sys');
 DeleteFile('C:\WINDOWS\system32\Xxit59.sys');
BC_ImportAll;
BC_DeleteSvc('ovrscn');
BC_DeleteSvc('Xxit59.sys');
BC_DeleteSvc('WksPatch');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После чего заустил скрипт в защищенном режиме системы (В обычный перегружаться было лень)
Файл удалился.
Судя по карантину был расположен в C:\WINDOWS\system32\drivers\Xxit59.sys
Карантин для интересующихся высылаю.

Проблема решена
Спасибо за помощь.

**wise-wistful** · 20.03.2008, 09:39

Так а логи то повторить то же не мешало бы

**vvv** · 20.03.2008, 10:38

компьютер в работе.
Логи смогу повторить дня через 2.

**CyberHelper** · 22.02.2009, 04:28

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Проблема с удалением ovrscn.sys (заявка № 20012)

Опции темы

Проблема с удалением ovrscn.sys

Итог лечения

Похожие темы

проблема с удалением трояна

Проблема с полным удалением программы

проблема с удалением mcenspc.dll

троян lich.sys, проблема с удалением

Проблема с удалением вируса

Ваши права в разделе