-
Junior Member
- Вес репутации
- 55
Следы в рестре после удаления вирусов
В системе была куча вирусов. Но проблемы возникли при удалении
Файл C:\WINDOWS\system32\svchost.exe:ext.exe, обнаружено: вирус 'Heur.Trojan.Generic' (модификация).
Файл C:\WINDOWS\system32\ntos.exe, обнаружено: новая угроза 'Hidden.Object' (модификация).
Файл c:\windows\system32\veacwe.dll, обнаружено: троянская программа 'Backdoor.Win32.Hijack.an'.
Файл c:\windows\system32\winctrl32.dll, обнаружено: троянская программа 'Trojan-Downloader.Win32.Mutant.bqe'.
*из событий KAV 7.0.0.325
Удалял из безопасного режима, но файлы снова восстанавливались. После подключения винчестера к другому ПК удалось окончательно их удалить. Полное сканирование KAV на максимальных настройка ничего не обнаружило. Но Ccleaner нашел в реестре запись
Ошибки ActiveX/COM InProcServer32\C:\WINDOWS\system32\1549982428.dll HKCR\CLSID\{F0099D96-0E1C-40EA-B5A1-A9007467E476}
(1549982428.dll - KAV сильно на него ругался)
При удалении выбивает ошибку "Не удается удалить"
Помогите пожалуйста разобратся, осталась ли зараза?
Последний раз редактировалось akir610; 26.04.2009 в 19:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\I386\SVCPACK\dtools.exe','');
DelBHO('{F0099D96-0E1C-40EA-B5A1-A9007467E476}');
QuarantineFile('C:\WINDOWS\system32\1549982428.dll','');
QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvd42.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winai17.sys','');
DeleteService('Winwe07');
DeleteService('Winvd42');
DeleteService('Winai17');
DeleteService('ati3bixx');
DeleteService('ati7dkxx');
DeleteService('ati6vdxx');
DeleteService('ati2ygxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2ygxx.sys','');
DeleteService('ati0ovxx');
DeleteService('ati0fmxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0fmxx.sys','');
DeleteService('zujadvoq');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\07190122.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\zujadvoq.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\zujadvoq.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\07190122.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ovxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2ygxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6vdxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3bixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7dkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winai17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvd42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe07.sys');
DeleteFile('C:\WINDOWS\system32\1549982428.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 55
После выполнения скрипта запись в реестре осталась
Последний раз редактировалось akir610; 26.04.2009 в 19:04.
-
Junior Member
- Вес репутации
- 55
-
Отключите восстановление системы!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\ati0fmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ovxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2ygxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3bixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6vdxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7dkxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\zujadvoq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('zujadvoq');
BC_DeleteSvc('ati7dkxx');
BC_DeleteSvc('ati6vdxx');
BC_DeleteSvc('ati3bixx');
BC_DeleteSvc('ati2ygxx');
BC_DeleteSvc('ati0ovxx');
BC_DeleteSvc('ati0fmxx');
BC_Activate;
RebootWindows(true);
end.
Повторите пункт 2 диагностики...
-
-
Junior Member
- Вес репутации
- 55
После выполнения скрипта, с помощю Ccleaner удалось удалить запись в реестре
Последний раз редактировалось akir610; 26.04.2009 в 19:04.
-
Жалобы есть?
Установите IE8 ...
-
-
Junior Member
- Вес репутации
- 55
Жалоб нет. Все работает стабильно. Большое спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ati0fmxx.sys - Backdoor.Win32.IEbooot.bjz ( BitDefender: DeepScan:Generic.IEBooot.158CFB88 )
- c:\windows\system32\drivers\winai17.sys - Backdoor.Win32.IEbooot.bjz ( BitDefender: DeepScan:Generic.IEBooot.158CFB88 )
- c:\windows\system32\drivers\winvd42.sys - Backdoor.Win32.IEbooot.bjz ( BitDefender: DeepScan:Generic.IEBooot.158CFB88 )
- c:\windows\system32\drivers\winwe07.sys - Backdoor.Win32.IEbooot.bka ( DrWEB: Trojan.Spambot.4364, BitDefender: Trojan.IEBooot.C )
- c:\windows\system32\drivers\zujadvoq.sys - Trojan.Win32.BHO.ext ( DrWEB: Trojan.NtRootKit.1652, BitDefender: Rootkit.17589 )
-
