-
Junior Member
- Вес репутации
- 57
Rootkit.Win32.Protector.bd (хрен удалить)
Чтоже товарищи проблема в следующеm: Удалено вирус Rootkit.Win32.Protector.bd C:\System Volume Information\_restore{70F88B90-F9C6-4434-AB92-C131584074E4}\RP72\A0013262.sys (И так 5 штук меняется только имя sys файла...)
AVP его "вроде" как успешно удаляет, но как только происходит ребут системы, файл благополучно восстанавливается, вот его лога 2.
Подскажите как уБрать зверёныша... Пробывал Авиру, ДрВеб, НоД, все находят а удалить не могут... Надеюсь поможите...
логи в процесе... не сильно ругаемся, может кто знает более быстрый способ лечения сие твари)
Если отключить востановление ситемы то вирь пропадает, но возвратив обратно востановление ситсемы, эти файлы вновь всплывают... Оч странно...
СОбственно логи в студию
http://slil.ru/26382014 hijackthis
http://slil.ru/26382015 virusinfo_syscheck.zip
http://slil.ru/26382016 virusinfo_syscure.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Восстановление системы.
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлC:\WINDOWS\system32\Drivers\ati5pvxx.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
BC_ImportAll;
BC_DeleteSvc('ati5pvxx');
BC_DeleteSvc('ati7bhxx');
BC_DeleteSvc('ati4pvxx');
BC_DeleteSvc('ati4kpxx');
BC_DeleteSvc('ati2wcxx');
BC_DeleteSvc('ati0syxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=34767
Повторите логи.
-
Junior Member
- Вес репутации
- 57
Проблема "IceSword.
Запустите программу." При запуске программы синий экран и ребут... Может удалить в ручную?
-
Пропустите пока пункт с IceSword и выполняйте дальше.
-
Junior Member
- Вес репутации
- 57
Перешёл в безопасный режим, и проделал все операции там... Там всё работает...
Загрузил карантин как сказано выше.
Файл сохранён как 081129_055646_virus_49312dfec7010.zip
Размер файла 95249
MD5 1779019fb7b6bf835194b722d25b686c
Вот зеркало http://slil.ru/26382171
Добавлено через 1 час 43 минуты
Востановление системы можно включить? (Прошлый раз, когда было отключено востановление ситемы вири тоже не палились, но как только кулючаем востановление сразу появляются вири)
Вот совственно новые логи:
http://slil.ru/26382322virusinfo_syscheck.zip
http://slil.ru/26382323virusinfo_syscure.zip
http://slil.ru/26382324hijackthis1.rar
Последний раз редактировалось LOVE-LEO; 29.11.2008 в 16:20.
Причина: Добавлено
-
Ничего зловредного в логах нет.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Благодарю всех участников за помошь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
-