KIS2010 находит и удаляет файлы smss.exe и svchost.exe, но после перезагрузки они снова появляется и процесс циклически повторяется. Полная проверка не помогла.
KIS2010 находит и удаляет файлы smss.exe и svchost.exe, но после перезагрузки они снова появляется и процесс циклически повторяется. Полная проверка не помогла.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\system volume information\whistler\svchost.exe'); TerminateProcessByName('C:\System Volume Information\Whistler\smss.exe'); QuarantineFile('C:\System Volume Information\Whistler\smss.exe',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys',''); QuarantineFile('C:\WINDOWS.0\TEMP\qylswktnerdef.sys',''); QuarantineFile('C:\WINDOWS.0\system32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cdrom.sys',''); QuarantineFile('C:\WINDOWS.0\System32\DRIVERS\aech.sys',''); QuarantineFile('C:\WINDOWS.0\system32\gypefin.exe',''); QuarantineFile('c:\system volume information\whistler\svchost.exe',''); DeleteFile('c:\system volume information\whistler\svchost.exe'); DeleteFile('C:\System Volume Information\Whistler\smss.exe'); DeleteFile('C:\WINDOWS.0\system32\gypefin.exe'); DeleteFile('C:\WINDOWS.0\System32\DRIVERS\aech.sys'); DeleteFile('C:\WINDOWS.0\system32\drivers\protect.sys'); DeleteFile('C:\WINDOWS.0\TEMP\qylswktnerdef.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys'); DeleteService('xudrergk'); DeleteService('qihjyw'); DeleteService('aech'); DeleteService('protect'); DeleteService('ioewolnw0yuea9yt'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи. Проверка Drweb LiveCD также не решила проблемы.
Последний раз редактировалось kannagara; 21.05.2010 в 15:07.
C:\WINDOWS.0\system32\DRIVERS\cdrom.sys запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по xudrergk и выберите "Turn Run Off". Перезагрузку подтвердите.
Лог работы OSAM запакуйте и прикрепите к своему сообщению
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\system volume information\whistler\svchost.exe'); TerminateProcessByName('C:\System Volume Information\Whistler\smss.exe'); DeleteFile('c:\system volume information\whistler\svchost.exe'); DeleteFile('C:\System Volume Information\Whistler\smss.exe'); QuarantineFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys',''); DeleteFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys'); DeleteService('xudrergk'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('c:\system volume information\whistler\svchost.exe'); BC_DeleteFile('C:\System Volume Information\Whistler\smss.exe'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".Код::Processes explorer.exe C:\System Volume Information\Whistler\smss.exe C:\System Volume Information\Whistler\svchost.exe :Services xudrergk chpnyrvj zcihbuoo :Files C:\System Volume Information\Whistler\smss.exe C:\System Volume Information\Whistler\svchost.exe :Reg :Commands [purity] [emptytemp] [start explorer] [Reboot]
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), запакуйте его и прикрепите к следующему сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог. После выполнения скрипта explorer не перезапустился и компьютер не перезагрузился. Перезагрузил вручную, вирусы живы.
http://www.freedrweb.com/livecd должен помочь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\whistler\smss.exe - Trojan.Win32.Vilsel.adnj ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846055, AVAST4: Win32:Unruy-E [Trj] )
- c:\system volume information\whistler\svchost.exe - Trojan.Win32.Vilsel.adnt ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846262, AVAST4: Win32:Unruy-E [Trj] )
Уважаемый(ая) kannagara, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.