касперский 7 , обновлен
выскакивает сообщение найден вирус Rootkit.Win32.Small.bk
C:\WINDOWS\system32\drivers
удалить клаивиши нет, есть только пропустить
Printable View
касперский 7 , обновлен
выскакивает сообщение найден вирус Rootkit.Win32.Small.bk
C:\WINDOWS\system32\drivers
удалить клаивиши нет, есть только пропустить
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\tmwztyxxbvrlrt.sys','');
QuarantineFile('c:\windows\system32\winagent.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\tmwztyxxbvrlrt.sys');
DeleteFile('c:\windows\system32\winagent.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('yavskrjfm');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=48651[/url]).
[B]Обновите базы AVZ [/B]и сделайте новые логи.
Дополнительно сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
[COLOR="Black"][B]после выполнения скрипта, [/B][/COLOR]
касперский нашол это, хотя при полной проверки нечего не найдено
зараза как подозреваю еще жива...страно как касперский пропускает, а после уже находит, хотя внешне все работает без проблем, неполадок не замечаю!
не найдено: троянская программа Rootkit.Win32.Small.bk Файл: C\WINDOWS\system32\drivers\synsenddrv.sys
удалено: троянская программа Backdoor.Win32.Agent.ahyu Файл: C:\windows\system32\winagent.exe
удалено: троянская программа Backdoor.Win32.Agent.ahyu Файл: C:\DOCUME~1\U1\LOCALS~1\TEMP\PDFUPD.EXE
удалено: троянская программа Backdoor.Win32.Agent.ahyu Файл: C:\Documents and Settings\u1\Local Settings\Temporary Internet Files\Content.IE5\P26J5OJQ\load[2].exe
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог [B]virusinfo_syscheck.[/B]
1 востановление отключил
Ничего зловредного в логах нет.
спасибо!
значет все ок!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\tmwztyxxbvrlrt.sys - [B]Rootkit.Win32.Agent.lwe[/B] ( DrWEB: Trojan.NtRootKit.2965 )[/LIST][/LIST]