KIS2010 находит и удаляет файлы smss.exe и svchost.exe, но после перезагрузки они снова появляется и процесс циклически повторяется. Полная проверка не помогла.
Printable View
KIS2010 находит и удаляет файлы smss.exe и svchost.exe, но после перезагрузки они снова появляется и процесс циклически повторяется. Полная проверка не помогла.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\system volume information\whistler\svchost.exe');
TerminateProcessByName('C:\System Volume Information\Whistler\smss.exe');
QuarantineFile('C:\System Volume Information\Whistler\smss.exe','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys','');
QuarantineFile('C:\WINDOWS.0\TEMP\qylswktnerdef.sys','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\WINDOWS.0\System32\DRIVERS\aech.sys','');
QuarantineFile('C:\WINDOWS.0\system32\gypefin.exe','');
QuarantineFile('c:\system volume information\whistler\svchost.exe','');
DeleteFile('c:\system volume information\whistler\svchost.exe');
DeleteFile('C:\System Volume Information\Whistler\smss.exe');
DeleteFile('C:\WINDOWS.0\system32\gypefin.exe');
DeleteFile('C:\WINDOWS.0\System32\DRIVERS\aech.sys');
DeleteFile('C:\WINDOWS.0\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS.0\TEMP\qylswktnerdef.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys');
DeleteService('xudrergk');
DeleteService('qihjyw');
DeleteService('aech');
DeleteService('protect');
DeleteService('ioewolnw0yuea9yt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Новые логи. Проверка Drweb LiveCD также не решила проблемы.
C:\WINDOWS.0\system32\DRIVERS\cdrom.sys запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Скачайте [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/URL]. В меню драйверов правой кнопкой по [B]xudrergk[/B] и выберите "Turn Run Off". Перезагрузку подтвердите.
Лог работы OSAM запакуйте и прикрепите к своему сообщению
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\system volume information\whistler\svchost.exe');
TerminateProcessByName('C:\System Volume Information\Whistler\smss.exe');
DeleteFile('c:\system volume information\whistler\svchost.exe');
DeleteFile('C:\System Volume Information\Whistler\smss.exe');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\xudrergk.sys');
DeleteService('xudrergk');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\system volume information\whistler\svchost.exe');
BC_DeleteFile('C:\System Volume Information\Whistler\smss.exe');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Новые логи
Скачайте [url=http://oldtimer.geekstogo.com/OTM.exe]OTM by OldTimer[/url] и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
[url=http://www.bleepingcomputer.com/forums/topic114351.html]временно выключите антивирус, firewall и другое защитное программное обеспечение[/url]. Выделите и скопируйте текст ниже (Ctrl+C)
[code]
:Processes
explorer.exe
C:\System Volume Information\Whistler\smss.exe
C:\System Volume Information\Whistler\svchost.exe
:Services
xudrergk
chpnyrvj
zcihbuoo
:Files
C:\System Volume Information\Whistler\smss.exe
C:\System Volume Information\Whistler\svchost.exe
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
[/code]
В OTM под панелью [b]"Paste Instructions for Items to be Moved"[/b] (под [color=yellow][b]желтой[/b][/color] панелью) вставьте скопированный текст и нажмите кнопку [b]"MoveIt!"[/b].
[B][I]Компьютер перезагрузится.[/I][/B]
После перезагрузки откройте папку [b]"C:\_OTM\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), запакуйте его и прикрепите к следующему сообщению.
Лог. После выполнения скрипта explorer не перезапустился и компьютер не перезагрузился. Перезагрузил вручную, вирусы живы.
[url]http://www.freedrweb.com/livecd[/url] должен помочь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\whistler\smss.exe - [B]Trojan.Win32.Vilsel.adnj[/B] ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846055, AVAST4: Win32:Unruy-E [Trj] )[*] c:\system volume information\whistler\svchost.exe - [B]Trojan.Win32.Vilsel.adnt[/B] ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3846262, AVAST4: Win32:Unruy-E [Trj] )[/LIST][/LIST]