Почитав ветки с рекомендациями по удалению сабжа ... не помогло :? Help please :help:
Printable View
Почитав ветки с рекомендациями по удалению сабжа ... не помогло :? Help please :help:
Пока, наверное, так: На время лечения, [URL="http://virusinfo.info/showthread.php?t=4905"]отключите восстановление системы[/URL].
в программе Hijackthis пофиксите строки: [code]O20 - AppInit_DLLs: C:\windows\system32\perfc000.dat
O20 - Winlogon Notify: WgaLogon - C:\windows\[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\windows\system32\perfc000.dat');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=10480[/url] , как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] (там уже есть подозрительные файлы) и сделайте новые логи, начиная с п. 10 правил.
В дополнение: Касперский у вас стоит старый - актуальная версия сейчас - 6.0.2.621
Всё сделал, вот новые логи:
Остался. :( Давайте попробуем так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\windows\system32\perfc000.dat');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте логи, насиная с п. 10 правил и ,в дополнение, прикрепите к теме файл boot_clr.log из каталога программы AVZ. Если не делали, то хорошо бы еще, перед созданием новых логов, скачать утилиту [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]Cureit![/URL] и провести проверку машины, [URL="http://virusinfo.info/showthread.php?t=9279"]загрузившись в безопасном режиме[/URL].
[QUOTE=Numb;116727]Остался. ...[/QUOTE]
Нет, осталось только его тело в \System32\perfc000.dat и ветка в реестре [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "%System%\perfc000.dat" - удалил "остатки" и "его не стало" :bladerun: Спасибо за помощь :beer:
ЗЫ То, что находилось в карантине AVZ и являлось процессом бэкдора ИМХО.
сделайте новые логи и прикрепите файлик boot_clr.log,как просил вас [B]Numb[/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]