Dr.Web находит
C:\WYNDOUS\System32\drivers\Tbh17.sys - инфицирован BackDoor.Bulknet.188
пытаюсь вылечить, не лечится
удаляю но при перезагрузке он снова появляется
что это за гадость такая?
Dr.Web находит
C:\WYNDOUS\System32\drivers\Tbh17.sys - инфицирован BackDoor.Bulknet.188
пытаюсь вылечить, не лечится
удаляю но при перезагрузке он снова появляется
что это за гадость такая?
Последний раз редактировалось plazma; 27.12.2009 в 16:28.
Отключите восстановление системы, как написано в правилах!
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WYNDOUS\System32\drivers\Tbh17.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinNt32.dll',''); QuarantineFile('C:\WYNDOUS\System32\Drivers\Dkq27.sys',''); QuarantineFile('C:\WYNDOUS\System32\Drivers\Dkp41.sys',''); QuarantineFile('C:\WYNDOUS\System32\drivers\Beep.sys',''); QuarantineFile('C:\WYNDOUS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WYNDOUS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WYNDOUS\System32\Drivers\Tbh17.sys',''); QuarantineFile('C:\WYNDOUS\System32\Drivers\a9ud0907.SYS',''); QuarantineFile('C:\WYNDOUS\system32\WinNt32.dll',''); DeleteFile('C:\WYNDOUS\system32\WinNt32.dll'); DeleteFile('Tbh17.sys'); DeleteFile('C:\WYNDOUS\System32\drivers\Tbh17.sys'); DeleteFile('C:\WYNDOUS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WYNDOUS\System32\Drivers\Dkp41.sys'); DeleteFile('C:\WYNDOUS\System32\Drivers\Dkq27.sys'); DeleteFile('WinNt32.dll'); DelWinlogonNotifyByKeyName('WinNt32'); BC_ImportALL; ExecuteSysClean; BC_QrSvc('Beep'); BC_DeleteSvc('Dkq27'); BC_DeleteSvc('Dkp41'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Tbh17'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил и скопированный Вами файл в архиве с паролем virus (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23460 ).
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Отключить восстановление системы!!!
З.Ы. Хорошо у Вас директория системы названа
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
пока все это делал получил вот это
C:\WYNDOUS\System32\drivers\xfK63.sys - инфицирован BackDoor.Bulknet.195
Логи повторите.
Уважаемый(ая) plazma, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.