Здравствуйте.
Свежие базы nod32 и Dr.Web не помогли.
Вот логи. Заранее спасибо.
Printable View
Здравствуйте.
Свежие базы nod32 и Dr.Web не помогли.
Вот логи. Заранее спасибо.
[B]Выполните скрипт в AVZ:[/B]
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] закачайте по ссылке [U]прислать запрошенный карантин [/U]вверху темы
Сделайте новый лог [B]virusinfo_syscheck.zip[/B]
При попытке загрузить [B]quarantine.zip[/B] выдаёт: "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"
Новый [B]virusinfo_syscheck.zip[/B] прилагаю.
[B]Выполните скрипт в AVZ:[/B]
[code]
begin
QuarantineFile('C:\WINDOWS\system32\drivers\kmcqiyev.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Файл [B]quarantine.zip[/B] закачайте по ссылке [U]прислать запрошенный карантин[/U]
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Та же самая ситуация.
[CODE]C:\WINDOWS\system32\drivers\kmcqiyev.sys[/CODE]
Поищите данный файл на диске согласно приложению 3 правил
Этого файла в указанной папке нет, в карантине AVZ его тоже нет (пишет 0 файлов)
Эта зловредная... вирусня... постоянно переименовывает свой sys-файл в папке \drivers (upd: периодночность изменения имени ровно 1 минута). Удалить его средствами системы нельзя ибо занят.
Любые попытки удаления/открытия/иземения этого файла приводят к его переименовыванию и невозможности даже сохранить в карантин средставами AVZ.
Сделайте новый комплект логов
_
[B]Отключите системное восстановление![/B]
[B]Выполните скрипт в AVZ:[/B]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\avwdorhp.sys');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
_
[QUOTE='Venus Doom;522830']Отключите системное восстановление![/QUOTE]
См. Приложение 1 правил. Сделайте обязательно!
И еще сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Автоматическое восстановление отключил.
Вот лог GMER.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новый лог gmer.
2й лог GMER
Случай непростой у вас. Берем таймаут, надо подумать.
[QUOTE='manfi;522816']Любые попытки удаления/открытия/иземения этого файла приводят к его переименовыванию и невозможности даже сохранить в карантин средставами AVZ. [/QUOTE]
Включаете AVZGuard, копируете файл в карантин, выключаете AVZGuard, загружаете карантин так, как написано в приложении 3 Правил.
Результат загрузкиФайл сохранён как 091202_165024_quarantine_4b1670a05d556.zip
Размер файла 20921
MD5 **************************
Файл закачан, спасибо!
"Ваша" версия трояна уже детектируется антивирусом Касперского.
Сделайте проверку с помощью [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool.[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\hfadixgz.sys - [B]Trojan-Ransom.Win32.Agent.hy[/B] ( DrWEB: Trojan.Winlock.516 )[/LIST][/LIST]