НОД периодически сообщает о наличии зловредов, но поделать с ними ничего не может. Прошу помочь.
Printable View
НОД периодически сообщает о наличии зловредов, но поделать с ними ничего не может. Прошу помочь.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winulty.exe','');
DeleteService('gxpgoxfc');
QuarantineFile('C:\WINDOWS\System32\Drivers\gxpgoxfc.sys','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\gxpgoxfc.sys');
DeleteFile('C:\WINDOWS\system32\winulty.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Upgrate Utility');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=58938[/url]
3. Повторите лог [B]virusinfo_syscheck.[/B]
Скрипт выполнил. Карантин отправил. Лог прилагаю.
csrcs.exe - [B]Trojan.Autoit.FINT (VBA32)[/B]
Выполните скрипт в AVZ:
[CODE]begin
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.[/CODE]
Повторите лог [B]virusinfo_syscheck.[/B]
Готово.
Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=40118[/url]
Сделал лог GMER.
Плохо дело. Придется Вам загрузиться с Live CD и заменить файл C:\WINDOWS\system32\drivers\atapi.sys на чистый.
[QUOTE='Aleksandra;498201']заменить файл[/QUOTE]
Заменил на заведомо чистый. Мои дальнейшие действия? :)
Повторитe логи.
Сделано. На всякий случай GMER тоже еще разок прогнал.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\xtikfrgm.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\xtikfrgm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('xtikfrgm');
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=58938[/url]
3. Повторите лог [B]virusinfo_syscheck.[/B]
[QUOTE='Aleksandra;499063'] QuarantineFile('C:\WINDOWS\System32\Drivers\xtikfrgm.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\xtikfrgm.sys');[/QUOTE]
Вот это вот AVZ не осилил, т. к. не смог получить прямой доступ к файлу. Карантин, как следствие, пуст.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('xtikfrgm', 4);
DeleteService('xtikfrgm');
DeleteFile('C:\WINDOWS\System32\Drivers\xtikfrgm.sys');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
[URL="http://virusinfo.info/showthread.php?t=40118"]Выполните в Gmer:[/URL]
[CODE]f0w2zcp4.exe -killall
copy C:\WINDOWS\system32\drivers\xtikfrgm.sys C:\xtikfrgm.sys
f0w2zcp4.exe -killfile "C:\WINDOWS\system32\drivers\xtikfrgm.sys"
f0w2zcp4.exe -reboot[/CODE]
Повторите лог.
Выполните скрипт в AVZ:
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\xtikfrgm.sys','');
CreateQurantineArchive('C:\quarantine.zip');
end.[/CODE]
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=58938[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\csrcs.exe - [B]Worm.Win32.AutoIt.ra[/B] ( DrWEB: Win32.HLLW.Autoruner.8666, BitDefender: Gen:Trojan.Heur.AutoIT.Qq3@b8U5rciO )[/LIST][/LIST]