При загрузке системы NOD 32 обнаруживает зараженный file.bat
При этом каждый раз хочет установиться драйвер непонятно какого устройства
В диспетчер устройств не пускает >:(
Printable View
При загрузке системы NOD 32 обнаруживает зараженный file.bat
При этом каждый раз хочет установиться драйвер непонятно какого устройства
В диспетчер устройств не пускает >:(
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('botdrv');
QuarantineFile('C:\WINDOWS\system32\driver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
DeleteFile('C:\WINDOWS\system32\driver.sys');
DeleteService('botdrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('botdrv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Теперь NOD ругается на
C:\WINDOWS\system32\drivers\restore.sys a variant of Win32/Wigon trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Temp\BN31.tmp.
Отключить а/вирус!!!
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Startuplogo\Startup.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
BC_DeleteSvc('restore');
QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=43395[/url]
Профиксить:
[CODE]O4 - HKLM\..\Run: [Window UDP Control Servic] winlogon.exe
[/CODE]
Выполнил
Пофиксил
Не удаляется зараза, крепко засела.
Надо подождать ответа по карантину.
NDIS.sys пришлите согласно приложению 2 правил...
AVZ при добавлении в карантин выдает:
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (NDIS.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\NDIS.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\NDIS.sys)
Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE]
[CODE]C:\WINDOWS\system32\NDIS.sys[/CODE]
Найдите его там, запакуйте в архив с паролем "virus" и пришлите по красной ссылке...
Отправил
Есть шансы?
ndis.sys
Вредоносный код в файле не обнаружен.
Сделайте свежие логи...
Логи
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteService('restore');
QuarantineFile('c:\windows\temp\bn9.tmp','');
TerminateProcessByName('c:\windows\temp\bn9.tmp');
DeleteFile('c:\windows\temp\bn9.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('restore');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Логи
Карантин закачал
Сделайте полную проверку AVPTool и повторите логи...
Логи
bn9.tmp - Email-Worm.Win32.Iksmas.ape - этого удалили.
Проблемы остались.
Переустановка винды?
Поищите на диске вот этот файлик:
C:\WINDOWS\system32\drivers\restore.sys
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('restore');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи.
C:\WINDOWS\system32\drivers\restore.sys
Не находит
Опять появляется bxx.tmp