троян в ksys.sys

здравствуйте. у меня вчера Аваст блокирнул браузеры. при сканировании обнаружил троян в ksys.sys... ksys.sys не удаляется и при сканировании постоянно пишет что там вирус. пришлось удалить аваст. что делать? как от него избавится...
заранее спасибо

[QUOTE=u-gin;128246]здравствуйте. у меня вчера Аваст блокирнул браузеры.[/QUOTE]
и при этом пал смертью храбрых >:( Вы Др.Веб прогоняли перед тем, как логи делать, т.е. как в правилах написано?
пофиксите
[QUOTE]O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\system32\Com\svchost.exe[/QUOTE]
Выполните скрипт
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\Com\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\Com\svchost.exe');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\Com\svchost.exe');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
после ребута - карантин [URL="http://virusinfo.info/upload_virus.php?tid=1235"]в студию[/URL], логи повторить.
[QUOTE]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
[/QUOTE]
После лечения обновить до версии 1.6.0 02

пофиксите

Цитата:
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\system32\Com\svchost.exe
простите за глупость..я в этом не бум-бум. а как это сделать?

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте это значит...[/url]

а если я не пофиксил а скрипт выполнил??

[QUOTE=u-gin;128259]а если я не пофиксил а скрипт выполнил??[/QUOTE]карантин где? Логи после скрипта?Ответ на вопрос о Др.Веб?

карантин послал. каюсь :'-( вэбом не пользовался. простите.

Пофиксите:
[code]O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
Перезагрузитесь и повторите лог HijackThis.

спасибо

Теперь все в логах хорошо, только куда же ksys.sys подевался?
Поищите его "Поиском файлов" в AVZ.
И еще сделайте лог, как написано тут:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

ksys.sys не находится. при включении безопасного режима на что то ругается. на какие то три драйвера... первый скрипт не выполняет(((

пишет: Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Вы забыли переключить "Только активные службы и драйверы" на "Все службы и драйверы", это главная фишка в этом логе ;)
Сделайте еще раз.
[QUOTE]пишет: Проверка не производится...[/QUOTE]
это нормально

вроде переключал всё. вот еще раз. теперь точно сделал как вы сказали

Вот теперь ОК. Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/code]
На этом считаем лечение оконченным.
Антивирус обязательно поставьте, только лучше не Аваст, а что-нибудь посолиднее. Обновите ему базы и на всякий пожарный сделайте полную проверку в безопасном режиме.

Огромное спасибо)))

Пардон, маленько поспешил. Есть еще кое-что подозрительное.
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
BC_QrSvc('maz550u');
BC_QrSvc('maz550m');
BC_QrSvc('maz550c');
BC_Activate;
RebootWindows(true);
end.[/code]
и пришлите новый карантин по правилам.

послал.
спасибо еще раз. огромное

Вэбом все-таки проверьте.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\com\\svchost.exe - [B]Backdoor.Win32.VB.bdw[/B] (DrWEB: BackDoor.Glist)[/LIST][/LIST]