не удаляется вирус из папки system volume information

[_Alla_]

При сканировании утилитой AVPTool в папке system volume information обнаруживается вирус, после подтверждения запроса на удаление появляется сообщения, что вирус будет удален после перезагрузки.... после перезагрузки вирус появляется опять и т.д.

[thyrex]

1. Скачайте Bootkit Remover от eSage Lab http://www.esagelab.com/files/bootkit_remover.rar

2. Распакуйте утилиту и запустите файл remover.exe.

3. Сделайте скриншот окна прежде чем нажать на любую клавишу и приложите его сюда.

[_Alla_]

Скриншот Bootkit Remover

[thyrex]

Выполнить
1. remover.exe dump \\.\PhysicalDrive0 bootvir
2. remover.exe fix \\.\PhysicalDrive0

Файл bootvir запаковать с паролем virus и прислать по красной ссылке Прислать запрошенный карантин вверху темы

[_Alla_]

отослала запрошенный карантин

[thyrex]

Проблема решена?

Выполните правила + сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

[_Alla_]

проблема осталась.... был ли получен отосланный мной карантин?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\Microsoft\smss.exe','');
DeleteFile('C:\System Volume Information\Microsoft\smss.exe');
 TerminateProcessByName('c:\system volume information\microsoft\services.exe');
 QuarantineFile('c:\system volume information\microsoft\services.exe','');
 DeleteFile('c:\system volume information\microsoft\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[_Alla_]

скрипт выполнила, карантин выслала

[thyrex]

Пофиксите в HiJack

Код:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)

Больше ничего плохого

Установите Adobe Acrobat 9.3 или удалите старый

[_Alla_]

проблема решена..... спасибо за помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\system volume information\microsoft\services.exe - Trojan-Clicker.Win32.Cycler.ajsx ( BitDefender: Trojan.Generic.4192174, AVAST4: Win32:Cycler-B [Drp] )
  2. c:\system volume information\microsoft\smss.exe - Trojan-Clicker.Win32.Cycler.ajsx ( BitDefender: Trojan.Generic.4192174, AVAST4: Win32:Cycler-B [Drp] )