Помогите с проблемой. Запуск explorer.exe и приложений делаю пока с помощью диспетчера задач. Попытка поставить Symantec закончилась неудачей. Судя по логам AVZ, вирус работает в Kernel Mode. Помогите аккуратно его убрать.
Заранее спасибо.
Printable View
Помогите с проблемой. Запуск explorer.exe и приложений делаю пока с помощью диспетчера задач. Попытка поставить Symantec закончилась неудачей. Судя по логам AVZ, вирус работает в Kernel Mode. Помогите аккуратно его убрать.
Заранее спасибо.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3inxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3inxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('digeste.dll');
DeleteFile('msansspc.dll');
BC_Importall;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati3inxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке
Повторите логи по правилам.
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
[B]Отключите восстановление системы![/B]
Все сделал по инструкции.
Ситуация с ручным стартом explorer.exe не изменилась.
Карантин выложил. Повторные логи прилагаю.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\drivers\65471a93.sys','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
Скрипт выполнил. При автоматической упаковке карантина в virus.zip файлы bcqr00001.dta и bcqr00002.dta в него почему-то не попали (только их соответствующие ini). Поэтому сформировал архив самостоятельно с паролем virus.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 15 минут[/I][/B][/color][/size]
Тему можно закрывать, спасибо.
Удалил следы: [I]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2[/I]. На всякий случай восстановил userinit.exe (хотя вроде размер, дата и время совпадали). Перезагрузил - все заработало.
Буду благодарен, если подскажете, почему стартовал вход в систему через Winlogo2, а не Winlogon, если userinit.exe не подменялся.
в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\65471a93.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\virtualnetwork\\virtualnetwork.dll - [B]not-a-virus:AdTool.Win32.VirtualNetwork.a[/B] (DrWEB: Trojan.AdVirtualNetwork.2)[*] \\2009-01-28\\bcqr00001.dta - [B]Rootkit.Win32.Agent.gme[/B][*] \\2009-01-28\\bcqr00002.dta - [B]Rootkit.Win32.Agent.gme[/B][/LIST][/LIST]