xnuexhgo.sys

Файл C:\WINDOWS\system32\drivers\xnuexhgo.sys Avira AntiVir Personal распознает как RKIT/Agent.biiu.

Пытается удалить -- выдает ошибку.

При попытке удалить вручную -- выдает сообщение "Не удается удалить xnuexhgo. Не удается произвести чтение из файла или с диска".

При проверке AVZ выдается сообщение [SIZE=2]
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "xnuexhgo"
Проверка завершена


[SIZE=2]Просканировано файлов: 437, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0[/SIZE]
[SIZE=2][/SIZE]
[SIZE=2][/SIZE]
[SIZE=2]Как все-таки удалить этот файл?[/SIZE]
[SIZE=2][/SIZE]
[SIZE=2]Спасибо.
[/SIZE][/SIZE]

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]xnuexhgo[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку.

html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

Приступайте к выполнению [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

скрипты AVZ и HJT

виноват, не прочитал сообщение.

выполню инструкции и пришлю скрипты.

спасибо

После OSAM сделайте

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\xnuexhgo.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\xnuexhgo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xnuexhgo');
BC_DeleteSvcReg('xnuexhgo');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

карантин загрузил

логи обновил

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Карантин загрузил.

Логи обновил.

Кстати, по результатам запуска сегодняшней версии Virus Removal Tool в отчете две строки:

28.08.2010 13:33:35 Ошибка обработки C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe Ошибка чтения

28.08.2010 13:56:13 Ошибка обработки c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\syscron.exe Ошибка чтения

Ничего необычного в логах нет

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url]

Еще по поводу syscron.exe.

OSAM упорно видит его в разделе Logon -> Path: %UserProfile%\Главное меню\Программы\Автозагрузка

Точно также, как и xnuexhgo.sys в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services (адрес C:\WINDOWS\system32\drivers\xnuexhgo.sys).

При том, что сами файлы в Explorer не видны даже при выставленном флажке "Показывать скрытые файлы и папки", и снятом флажке "Скрывать защищенные системные файлы".

В реестре по указанному адресу тоже тишина.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]