-
Junior Member
- Вес репутации
- 55
Подскажите пожалуйста, как бороться с файлами eventwvr.exe, eventlog.dll, eventcls.dll
Я проверяла свой компьютер антивирусной программой Remove IT. Она нашла подозрительный файл events.exe по адресу C\windows\System32 но сама не смогла его удалить. Я попробовала удалить его вручную, но это оказалось невозможным, был ответ, что файл занят каким-то приложением и не может быть удален. Во время подключения к интернету он сразу же начинал что-то выкачивать из сети и создавать папки все в том же System32. Тогда я поступила так:
Панель управления\Администрирование\Службы. В разделе "Службы" нашла запись: Event logs, отключила ее и перезагрузила компьютер. После этого файл events.exe легко удалился. Однако он создал файлы
C:\WINDOWS\System32\eventwvr.exe
C:\WINDOWS\System32\eventlog.dll
C:\WINDOWS\System32\eventcls.dll
Которые сразу после удаления создаются вновь и сама служба с названием Event logs не удаляется.
Подскажите пожалуйста, как можно решить эту проблему и полностью очистить компьютер?
Заранее Вам очень благодарна!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('acpi64Drv');
DeleteService('SeterSvc');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\acpi64.sys','');
TerminateProcessByName('c:\windows\system32\traffic\smss.exe');
QuarantineFile('c:\windows\system32\traffic\smss.exe','');
TerminateProcessByName('c:\docume~1\artur\locals~1\temp\rtkbtmnt.exe');
QuarantineFile('c:\docume~1\artur\locals~1\temp\rtkbtmnt.exe','');
TerminateProcessByName('c:\windows\system32\ynerw\j001.exe');
QuarantineFile('c:\windows\system32\ynerw\j001.exe','');
DeleteFile('c:\windows\system32\ynerw\j001.exe');
DeleteFile('c:\docume~1\artur\locals~1\temp\rtkbtmnt.exe');
DeleteFile('c:\windows\system32\traffic\smss.exe');
DeleteFile('C:\WINDOWS\system32\acpi64.sys');
DeleteFile('C:\WINDOWS\System32\Ageia\smss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 55
Посылаю новые логи и архив карантина
Большое спасибо за ответ, V_Bond!
Я выполнила скрипты.
Посылаю новые логи и архив карантина, посмотрите пожалуйста.
-
-
-
Junior Member
- Вес репутации
- 55
По Вашей просьбе повторяю логи
Уважаемый light59!
по Вашей просьбе повторяю логи.
Заранее Вам благодарна за совет и помощь!
-
выполните скрипт
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\acpi64.sys','');
end.
пришлите карантин согласно приложения 3 правил
-
-
Junior Member
- Вес репутации
- 55
Скрипты выполнила, но запрошенный файл AVZ найти не может
Уважаемый Rene-gad!
Присланный Вами скрипт я выполнила.
Но файл 'C:\WINDOWS\system32\acpi64.sys'
AVZ найти не может. Я сама искала такой через проводник. Файла с таким названием по этому адресу нет. Зато есть acpi64.cnm
Я попробовала задать для AVZ такой путь для поиска и помещения в карантин 'C:\WINDOWS\system32\acpi64.cnm
Посылаю Вам архив этого карантина на обследование.
-
В присланном Вами файле (втором) не найдено ничего вредоносного.
А в первом:
j001.exe - Trojan-Downloader.Win32.Agent.bkbq
smss.exe - Trojan-Downloader.Win32.VB.kxx
-
-
Junior Member
- Вес репутации
- 55
я нашла в c\windows\system32\ только файл smss.exe
Большое спасибо за подсказку!
Но я нашла в c\windows\system32\ только файл smss.exe и он не удаляется. Второго файла j001.exe не нашла.
К тому же мой вопрос про файлы eventwvr.exe, eventlog.dll, eventcls.dll остался без ответа. Они по прежнему не удаляются. Когда я подключаюсь к сети, вновь что-то сразу начинает выкачиваться без моего разрешения.
Подскажите пожалуйста что мне делать дальше?
Заранее премного благодарна!
-
ничего не нужно удалять ! это системные фалы ...
(зловреды удалены скриптом)
-
-
Junior Member
- Вес репутации
- 55
Еще один вопрос
Большое спасибо! Теперь мне все понятно.
У меня еще вопрос:
Я прочла на Вашем сайте правила по защите компов от вирусов и решила последовать этим советам.
Создала на своем компе 2 учетных записи - админ и юзер, обе запаролила и перезагрузила комп. Результат - ни один из паролей не открывался. Были проверены раскладки клавиатуры и клавиша Caps Lock, все безрезультатно. Я также не смогла зайти через клавишу F8 - через безопасный режим. Когда я выбирала вход через безопасный режим, комп каждый раз перезагружался и вновь и вновь требовал зайти через обычный режим.
Как мне в итоге все же удалось зайти?
F8\ Режим VGA\ в этом режиме клавиши Alt-Ctrl-Del, появляется маленькая менюшка с именем пользователя. Хотя на компе по умолчанию английская раскладка, но здесь почему-то была русская. Также на компе переход на рус-англ раскладку установлен клавишами Shift-Ctrl, однако здесь почему-то действовали клавиши Alt-Shift. Там мне удалось перейти на англ раскладку, я набрала пароль и смогла войти в систему.
Подскажите пожалуйста, это результат действия какого-то вируса или просто сбой в системе?
-
это установки для входа в систему по умолчанию ... Alt-Shift , русский ...
-
-
Система при установке намекает на возможность изменения этих умолчаний, но мало кто на эти намёки обращает внимание. А после установки так просто их уже не поменять.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\traffic\smss.exe - Trojan-Downloader.Win32.VB.kxx( BitDefender: Trojan.Generic.1536834 )
- c:\windows\system32\ynerw\j001.exe - Trojan-Downloader.Win32.Agent.bkbq( BitDefender: Trojan.Panddos.AN )
-