Вирус не удаляется :(

Printable View

26.05.2008, 13:04
alyen

Вирус не удаляется :(

Помогите пожалуйста. Нацепляли вирусов на машину :(.
Часть подлечил AVZ- но что-то осталось.
Dr-web - не запустить- перезагрузка.
Блокировку RootKit- ов тоже. перезагружается ПК

Логи сделал.

[B]скрипт [/B]
[I]begin
QuarantineFile('Ceh41.sys','');
DeleteFile('Ceh41.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/I]
[B]выполнил.[/B]
[B]выдало [/B]
[I]Ошибка карантина файла, попытка прямого чтения (Ceh41.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Ceh41.sys)
Карантин с использованием прямого чтения - ошибка
Удаление файла:Ceh41.sys
>>>Для удаления файла Ceh41.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ[/I]

Карантин пуст.

Поиск [I]Ceh41.sys[/I] ничего не дал[I].[/I]
Знания и умные мысли - иссякли. Прошу помощи.
26.05.2008, 13:22
PavelA

Нехорошо выполнять "чужие" скрипты, можно завалить систему.
Если скрипт писал сам, то он написан неверно поэтому и не помогло. :(

Скрипты писать самостоятельно можно только обученным нами пользователями.

Выполни вот такой:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\drivers\Ceh41.sys','');
DeleteFile('C:\windows\system32\drivers\Ceh41.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Карантин надо прислать.
26.05.2008, 13:50
alyen

Павел, спасибо.

Выполнение
SearchRootkit(true, true); приводит к мгновенной перезагрузке :(

выполнил скрипт без этой строчки.

Первоначальный скрипт пытался написать сам... Заявку на обучение подавал - не взяли.. :(

Карантин закачал.
[B][SIZE=2]Результат загрузки[/SIZE][/B]

Файл сохранён как080526_044941_virus_483a87b5188f2.zip
Размер файла122268MD556e6b06f253556c9cba71a16d209c24f
[B][SIZE=2]Файл закачан, спасибо![/SIZE][/B]
26.05.2008, 14:13
PavelA

Значит так: качаем IсeSword и удаляем этот файл. Предварительно куда-нибудь его надо будет скопировать.
[url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url] - IceSword

После этого выполнить повторно скрипт и сделать новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Ceh41.sys- Rootkit.Win32.Qandr.be по Касперскому
26.05.2008, 15:42
alyen

Ceh41.sys - удалился.

логи прикрепляю.

Сейчас выполняю полную проверку Вебером
26.05.2008, 15:52
PavelA

Почистим хвосты.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\windows\system32\drivers\Ceh41.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Надо прислать файлик, что попал в карантин, можно его одного.
27.05.2008, 15:34
alyen

Карантин выслал.