Касперский не вычищает, удаляю руками - появляется снова
Касперский не вычищает, удаляю руками - появляется снова
Пофиксить в HiJack
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wsnpoema.exe,
[/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wsnpoema.exe','');
QuarantineFile('C:\WINDOWS\system32\advpackt.exe','');
DeleteService('HTTPFilterwuauserv');
QuarantineFile('C:\WINDOWS\system32\drivers\wsnpoem.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\wsnpoem.sys');
DeleteFile('C:\WINDOWS\system32\advpackt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
По моему не помогло
угу, не удалилось
попробуем по-другому
[code]begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsnpoem', 'Start');
RebootWindows(true);
end.[/code]
и после перезагрузки
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\wsnpoem.sys');
DeleteFile('C:\WINDOWS\system32\wsnpoema.exe');
BC_ImportDeletedList;
BC_DeleteSvc('wsnpoem');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Спасибо, все сработало. СКрипты выполнял с отключенным каспером, а то он по моему мешал удалению, блокировал файл при обращении.
Из лога АВЗ ушли странные перехваты. Остались каспер с демоном.
сделайте новый лог virusinfo_syscure, дабы мы убедились и успокоились :)
SYSTEM\CurrentControlSet\Services\wsnpoem', 'Start');
Эта ветка откуда? Я ее не смог найти перед выполнением скрипта и уж конечно после.
Для себя уяснить хочу
Это - из теории... если служба есть, то и в реестра должна быть такая запись.
Снося ей параметр 'start', мы в идеале не даем службе запуститься после ребута компьютера
спасибо за разъяснение.
кстати, повторный лог я по-прежнему советую сделать для проверки
Вот лог.
Чисто
Еще раз всем спасибо
advpackt.exe - [B]Trojan.Win32.Inject.akqc[/B],
wsnpoema.exe - [B]Trojan-Spy.Win32.Zbot.acjn[/B]
Троян класса Spy, смените пароли на всякий случай
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\advpackt.exe - [B]Trojan.Win32.Inject.akqc[/B][*] c:\windows\system32\wsnpoema.exe - [B]Trojan-Spy.Win32.Zbot.acjn[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]