Не могу выкосить эту напасть. dr Web каждый раз после перезагрузки находит и пишет что "обезврежен". Находит в процессе: Windows\System32\services.exe: 724 Уже перепробовал все, что могу. Ничего не выходит. Надеюсь на вашу помощь.
Не могу выкосить эту напасть. dr Web каждый раз после перезагрузки находит и пишет что "обезврежен". Находит в процессе: Windows\System32\services.exe: 724 Уже перепробовал все, что могу. Ничего не выходит. Надеюсь на вашу помощь.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\5c0680d1.sys',''); QuarantineFile('zblrxxkq.dll',''); DeleteService('ati0hmxx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0hmxx.sys',''); DeleteService('ati2mrxx'); QuarantineFile('C:\WINDOWS\System32\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\uze2mju1.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati2mrxx.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\ati2mrxx.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\uze2mju1.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0hmxx.sys'); DeleteFile('C:\WINDOWS\system32\blphc7mfj0ee31.scr'); DeleteFile('zblrxxkq.dll'); DeleteFile('C:\WINDOWS\System32\drivers\5c0680d1.sys'); DeleteFileMask('%Tmp%', '*.*', true) BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Карантин отправил. Логи еще раз сделал.
скачайте C:\WINDOWS\system32\Drivers\ati2mrxx.sys , C:\WINDOWS\System32\drivers\5c0680d1.sys -force delete
выполните скрипт
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); DeleteService('ati2mrxx'); DeleteService('5c0680d1'); QuarantineFile('c:\windows\system32\lphc7mfj0ee31.exe',''); DeleteFile('c:\windows\system32\lphc7mfj0ee31.exe'); DeleteFile('C:\WINDOWS\system32\lphc7mfj0ee31.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\ati2mrxx.sys'); DeleteFile('C:\WINDOWS\System32\drivers\5c0680d1.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\blphc7mfj0ee31.scr'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Все сделал: скачал программку, файл C:\WINDOWS\system32\Drivers\ati2mrxx.sys - удалил (force delete). Единственное, не нашел файла C:\WINDOWS\System32\drivers\5c0680d1.sys - его не было. Скрипт выполнил. Логи выкладываю снова.
Выполните скрипт:
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati2mrxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2mrxx.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ati2mrxx'); BC_Activate; ExecuteRepair(5 ); ExecuteRepair(6 ); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); RebootWindows(true); end.
Скрипт выполнил. Вот логи еще раз.
C:\WINDOWS\System32\svchost.exe - пришлите согласно приложения 2 правил
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\5c0680d1.sys - Rootkit.Win32.Agent.dyh (DrWEB: Trojan.NtRootKit.1569)
Уважаемый(ая) den1980, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.