Постоянно появляются TMP-файлы во временной папке Windows, на рабочий стол проставляется картинка с якобы найденным вирусным ПО. NOD32 запускается через раз.
Printable View
Постоянно появляются TMP-файлы во временной папке Windows, на рабочий стол проставляется картинка с якобы найденным вирусным ПО. NOD32 запускается через раз.
Восстановление системы отключить!!
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0014096.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('cnkucuj32.dll','');
QuarantineFile('C:\WINDOWS\system32\blphcaukj0enac.scr','');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati5fjxx.sys','');
QuarantineFile('C:\WINDOWS\system32\msvcrt59.dll','');
QuarantineFile('C:\WINDOWS\system32\cnkucuj32.dll','');
DeleteFile('C:\WINDOWS\system32\cnkucuj32.dll');
DeleteFile('C:\WINDOWS\system32\msvcrt59.dll');
DeleteFile('C:\WINDOWS\system32\blphcaukj0enac.scr');
DeleteFile('cnkucuj32.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0014096.exe:ext.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0015095.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{11120ED8-82BE-41FA-B7EF-305B87DE452B}\RP41\A0017102.exe:ext.exe:$DATA');
BC_DeleteSvc('ICF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин через ссылку вверху темы.
Done :)
В процессе формирования логов hijackthis НОД словил еще один ТМП-файл.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],,меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\Drivers\ati5fjxx.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\94bd4b8c.sys','');
DeleteService('docker19');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
DeleteService('ati5fjxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati5fjxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('msvcrt59.dll');
DeleteFile('C:\WINDOWS\System32\drivers\94bd4b8c.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('docker19');
BC_DeleteSvc('ati5fjxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
[B]Гриша[/B]
При раскрытии папки Windows посредсвом IceSword компьютер самопроизвольно перегружается. Безопасный режим - такая же реакция.
Что делать?
Пробуйте скрипт...
Done :)
Попробуйте вот этого через IceSword удалить:
'C:\WINDOWS\System32\drivers\94bd4b8c.sys'
Теперь папка Windows через IceSword прекрасно раскрылась. Файл 94bd4b8c.sys отсутсвует.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('94bd4b8c');
BC_DeleteFile('C:\WINDOWS\System32\drivers\94bd4b8c.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
повторить логи с п.10