Не могу выкосить эту напасть. dr Web каждый раз после перезагрузки находит и пишет что "обезврежен". Находит в процессе: Windows\System32\services.exe: 724 Уже перепробовал все, что могу. Ничего не выходит. Надеюсь на вашу помощь.
Printable View
Не могу выкосить эту напасть. dr Web каждый раз после перезагрузки находит и пишет что "обезврежен". Находит в процессе: Windows\System32\services.exe: 724 Уже перепробовал все, что могу. Ничего не выходит. Надеюсь на вашу помощь.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\5c0680d1.sys','');
QuarantineFile('zblrxxkq.dll','');
DeleteService('ati0hmxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0hmxx.sys','');
DeleteService('ati2mrxx');
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uze2mju1.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati2mrxx.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ati2mrxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\uze2mju1.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0hmxx.sys');
DeleteFile('C:\WINDOWS\system32\blphc7mfj0ee31.scr');
DeleteFile('zblrxxkq.dll');
DeleteFile('C:\WINDOWS\System32\drivers\5c0680d1.sys');
DeleteFileMask('%Tmp%', '*.*', true)
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Карантин отправил. Логи еще раз сделал.
[URL="http://www.antirootkit.com/software/IceSword.htm"]скачайте[/URL] C:\WINDOWS\system32\Drivers\ati2mrxx.sys , C:\WINDOWS\System32\drivers\5c0680d1.sys -force delete
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteService('ati2mrxx');
DeleteService('5c0680d1');
QuarantineFile('c:\windows\system32\lphc7mfj0ee31.exe','');
DeleteFile('c:\windows\system32\lphc7mfj0ee31.exe');
DeleteFile('C:\WINDOWS\system32\lphc7mfj0ee31.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ati2mrxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\5c0680d1.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\blphc7mfj0ee31.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
Все сделал: скачал программку, файл C:\WINDOWS\system32\Drivers\ati2mrxx.sys - удалил (force delete). Единственное, не нашел файла C:\WINDOWS\System32\drivers\5c0680d1.sys - его не было. Скрипт выполнил. Логи выкладываю снова.
Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati2mrxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2mrxx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati2mrxx');
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]
Повторите логи...
Скрипт выполнил. Вот логи еще раз.
C:\WINDOWS\System32\svchost.exe - пришлите согласно приложения 2 правил
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\5c0680d1.sys - [B]Rootkit.Win32.Agent.dyh[/B] (DrWEB: Trojan.NtRootKit.1569)[/LIST][/LIST]