-
NOD удалил tcpip.sys
C:\WINDOWS\system32\drivers\tcpip.sys Win32/Patched.BG вирус Обнаружена инфекция при проверке файлов, запускаемых при старте системы
Эту запись обнаружил в логах NOD32.
При этом не работала сеть, восстановил tcpip.sys с рабочей машины, сеть заработала. Но явно осталась какая-то зараза, т.к. не загружается в безопасном режиме и Virus Removal Tool не может запустить проверку.
Посмотрите пожалуйста логи.
Последний раз редактировалось Anton_Petrenko; 07.01.2010 в 17:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите антивирус, выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\DOCUME~1\DAF9~1\LOCALS~1\Temp\wpv131236368990.cpx','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\33219046.sys','');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
2. После перезагрузки отключите антивирус, затем пришлите карантин согласно правилам
3. Включите антивирус
-
-
Карантин пуст.
AVP Tool не запускается пишет "ошибка загрузки баз"
При попытке загрузиться в безопасном режиме, перезагружается.
Что делать дальше?
-
Сообщение от
Anton_Petrenko
Карантин пуст.
AVP Tool не запускается пишет "ошибка загрузки баз"
При попытке загрузиться в безопасном режиме, перезагружается.
Что делать дальше?
А дальше применим более тяжелую артиллерию. Как и ранее - антивирус перед любйо операцией следует выключить, выполнить скрипт:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\DOCUME~1\DAF9~1\LOCALS~1\Temp\wpv131236368990.cpx','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\33219046.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\33219046.sys');
DeleteFile('C:\DOCUME~1\DAF9~1\LOCALS~1\Temp\wpv131236368990.cpx');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После чего проверить работу AVPTool и повторить логи
-
-
AVPTool по-прежнему не работает.
Вот свежие логи.
Последний раз редактировалось Anton_Petrenko; 07.01.2010 в 17:13.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('WMI_MFC_TPSHOKER_80');
QuarantineFile('C:\WINDOWS\system32\drivers\umrgln.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\umrgln.sys');
DeleteService('WMI_MFC_TPSHOKER_80');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WMI_MFC_TPSHOKER_80');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Если проблема не решится, проведите курс лечения файловых вирусов: http://virusinfo.info/showthread.php?t=15927
а потом повторите скрипт и логи
-