Антивирус Касперского обнаружил этот вирус в файле rdriv.sys, при попытке удаления его АВК появляется сообщение о том, что "удаление невозможно, объект заблокирован" и дальше "удалить невозможно, используется другим процессом".
В безопасном режиме запускала сканирование АВК, Ad-Aware, AVZ. Но в отчете последнего говорится "удаление файла запрещено настройками".
При запуске полной проверки компьютера АВК в отчете появился помимо зараженного файла ...\system32\rdriv.sys еще и ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab"
При запуске в обычном режиме программы АВЗ для сканирования и исследования системы компьютер обе попытки вылетал, так что удалось сохранить только лог Hijack.
Помогите, пожалуйста!
я еще раз попробовала сохранить лог АВЗ -вроде бы получилось

1. Нужно прислать нам файлы:
bnmiqvee.exe
D:\WINDOWS\win32ssr.exe

2. Что делают остатки ДрВеб? Он был установлен раньше? Была сделана деинсталяция перед установкой КАВ?
3. Если АВЗ работает в безопасном режиме - сделать логи в безопасном режиме. В том числе лог сканирования

Вот эти файлы, а Др.Веб удаляла перед КАВ кажется деинсталятором
кто-нибудь файлы видел?

Посмотрите, пожалуйста, еще раз

Файлы выслать как написано в правилах. На email!

Извините, я пароль не сделала для архива

Извините, я пароль не сделала для архива
- значит не дойдёт.

d:\windows\system32\bnmiqvee.exe
Прислать нам :)

потом зайти в Safe mode и стереть
в Hijack поставить галки напротив -
O4 - HKLM\..\Run: [Microsoft Update 32] bnmiqvee.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] bnmiqvee.exe
и нажать на Fix
PS: Sdbot очередной - свежий :)

Кстати этот мусор по почте свалился, его не мешает ещё и в почтовом ящике найти и тоже удалить.

А вы не подскажете как сделать пароль, чтоб все дошло? и куда вам прислать?
А что такое: Sdbot очередной - свежий ?

А вы не подскажете как сделать пароль, чтоб все дошло? и куда вам прислать?
Прислать - как в правилах написано -
[email protected], пароль virus

А что такое: Sdbot очередной - свежий ?
Червяк такой в интернете бегает, называется SDBot, это свежая версия, потому как касперский его пока не ловит.

Подскажите, пожалуйста, как и где установить этот пароль?

Подскажите, пожалуйста, как и где установить этот пароль?
Правила -
Приложение 4. Поиск файлов при помощи AVZ.
1. Выберите "Файл"-"Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Выберите из меню "Файл"->"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
8. Полученный архив нужно выслать на [email protected]

Теперь отправила и удалила, все что сказали

Присланные (оба - Win32.HLLW.MyBot.based /drweb/)
d:\windows\system32\bnmiqvee.exe
D:\WINDOWS\win32ssr.exe

AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Spybot-123
Dr.Web Found Win32.HLLW.MyBot.based
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/Rbot
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing

Подскажите, что это значит и нужно ли сделать что-то еще?

D:\WINDOWS\win32ssr.exe
Вот, под драйвера начал маскироваться :(
пуск/выполнить 2 команды
sc stop Win32Sr
sc delete Win32Sr
потом стереть - D:\WINDOWS\win32ssr.exe
и повторить логи на проверку.

потом стереть - D:\WINDOWS\win32ssr.exe
и повторить логи на проверку.
а этот файл не удаляется, появляется "снимите защиту от записи"
можно ли удалить его из 98-ой системы?

а этот файл не удаляется, появляется "снимите защиту от записи"
Тогда так -
AVZ - Файл->Отложенное удаление -> D:\WINDOWS\win32ssr.exe
Перезагрузка
Пуск/выполнить - в этом случае только 1-ну команду
sc delete Win32Sr

Если есть 98-я - даже нужно.

Вот результаты+ отчет о сканировании через АВЗ, через "выполнить" я выполнила обе команды, а удалила через отложенное удаление.

Ну и, проблемы остались или пропали?

Вот результаты+ отчет о сканировании через АВЗ, через "выполнить" я выполнила обе команды, а удалила через отложенное удаление.
Судя по логам - чисто.
Визуально проблемы остались ?

Сейчас проверила КАВ , инфицированные файлы теперь удалились. Вроде бы все в порядке:).
Большое спасибо за помощь, очень большое:) .


P.S. не подскажете,как можно почистить что-то в почте (где вы писали)

-
Кстати этот мусор по почте свалился, его не мешает ещё и в почтовом ящике найти и тоже удалить.

P.P.S. Еще раз большое спасибо!!!