Printable View
Собствнно сабж, но из запущенных процессов удалось убрать system.exe путем сканирования нодом под командной строкой. Теперь появляются, как уже сказано в соседней теме, файлы с цифровыми именами в темповской папке, комп перезагружается и после перезагрузки передает привет из будущего, из 2070 года. Буду благодарен за скрипт.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\senekaivkbmqpx.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\senekaivkbmqpx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
закачал
Повторите логи...
повторяю
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
[/code]
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\45841.sys','');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\45841.sys');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\21638.sys','');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\21638.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Очистите полностью папку [B]C:\Documents and Settings\User\Local Settings\Temp[/B].
Сделайте новые логи.
Все сделал
Что-то новенькое опять поймали.
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system\msrsys32.exe','');
DeleteFile('C:\WINDOWS\system\msrsys32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=41110[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\senekaivkbmqpx.sys - [B]Rootkit.Win32.Agent.hui[/B]( DrWEB: Trojan.NtRootKit.2733, BitDefender: Rootkit.16076 )[/LIST][/LIST]