Постоянно появляются TMP-файлы во временной папке Windows, на рабочий стол проставляется картинка с якобы найденным вирусным ПО. NOD32 запускается через раз.
Постоянно появляются TMP-файлы во временной папке Windows, на рабочий стол проставляется картинка с якобы найденным вирусным ПО. NOD32 запускается через раз.
Последний раз редактировалось ALP; 20.01.2009 в 12:05.
Восстановление системы отключить!!
Выполнить скрипт:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0014096.exe:ext.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('cnkucuj32.dll',''); QuarantineFile('C:\WINDOWS\system32\blphcaukj0enac.scr',''); QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati5fjxx.sys',''); QuarantineFile('C:\WINDOWS\system32\msvcrt59.dll',''); QuarantineFile('C:\WINDOWS\system32\cnkucuj32.dll',''); DeleteFile('C:\WINDOWS\system32\cnkucuj32.dll'); DeleteFile('C:\WINDOWS\system32\msvcrt59.dll'); DeleteFile('C:\WINDOWS\system32\blphcaukj0enac.scr'); DeleteFile('cnkucuj32.dll'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0014096.exe:ext.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0015095.exe:ext.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0017102.exe:ext.exe:$DATA'); BC_DeleteSvc('ICF'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин через ссылку вверху темы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Done
В процессе формирования логов hijackthis НОД словил еще один ТМП-файл.
Последний раз редактировалось ALP; 20.01.2009 в 12:05.
Скачать,,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\Drivers\ati5fjxx.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\94bd4b8c.sys',''); DeleteService('docker19'); QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys',''); DeleteService('ati5fjxx'); DeleteFile('C:\WINDOWS\system32\Drivers\ati5fjxx.sys'); DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys'); DeleteFile('msvcrt59.dll'); DeleteFile('C:\WINDOWS\System32\drivers\94bd4b8c.sys'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('docker19'); BC_DeleteSvc('ati5fjxx'); BC_Activate; RebootWindows(true); end.
Гриша
При раскрытии папки Windows посредсвом IceSword компьютер самопроизвольно перегружается. Безопасный режим - такая же реакция.
Что делать?
Пробуйте скрипт...
Done
Последний раз редактировалось ALP; 20.01.2009 в 12:05.
Попробуйте вот этого через IceSword удалить:
'C:\WINDOWS\System32\drivers\94bd4b8c.sys'
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Теперь папка Windows через IceSword прекрасно раскрылась. Файл 94bd4b8c.sys отсутсвует.
Выполнить:
повторить логи с п.10Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('94bd4b8c'); BC_DeleteFile('C:\WINDOWS\System32\drivers\94bd4b8c.sys'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) ALP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.