-
Junior Member
- Вес репутации
- 50
xnuexhgo.sys
Файл C:\WINDOWS\system32\drivers\xnuexhgo.sys Avira AntiVir Personal распознает как RKIT/Agent.biiu.
Пытается удалить -- выдает ошибку.
При попытке удалить вручную -- выдает сообщение "Не удается удалить xnuexhgo. Не удается произвести чтение из файла или с диска".
При проверке AVZ выдается сообщение
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "xnuexhgo"
Проверка завершена
Просканировано файлов: 437, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Как все-таки удалить этот файл?
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по xnuexhgo и выберите "Turn Run Off", потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
Приступайте к выполнению правил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
виноват, не прочитал сообщение.
выполню инструкции и пришлю скрипты.
спасибо
-
После OSAM сделайте
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\xnuexhgo.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\xnuexhgo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xnuexhgo');
BC_DeleteSvcReg('xnuexhgo');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
карантин загрузил
логи обновил
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Карантин загрузил.
Логи обновил.
Кстати, по результатам запуска сегодняшней версии Virus Removal Tool в отчете две строки:
28.08.2010 13:33:35 Ошибка обработки C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe Ошибка чтения
28.08.2010 13:56:13 Ошибка обработки c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\syscron.exe Ошибка чтения
-
Ничего необычного в логах нет
Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Еще по поводу syscron.exe.
OSAM упорно видит его в разделе Logon -> Path: %UserProfile%\Главное меню\Программы\Автозагрузка
Точно также, как и xnuexhgo.sys в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services (адрес C:\WINDOWS\system32\drivers\xnuexhgo.sys).
При том, что сами файлы в Explorer не видны даже при выставленном флажке "Показывать скрытые файлы и папки", и снятом флажке "Скрывать защищенные системные файлы".
В реестре по указанному адресу тоже тишина.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-