Здравствуйте.
Компьютер что-то стал тормозить, решил проверить DrWeb CureIt, он находит
один зараженный файл coifwwv.sys инфицирован Trojan.Packed.20819, удаляет его, но этот файл появляется снова. Прошу помочь в лечении.
Printable View
Здравствуйте.
Компьютер что-то стал тормозить, решил проверить DrWeb CureIt, он находит
один зараженный файл coifwwv.sys инфицирован Trojan.Packed.20819, удаляет его, но этот файл появляется снова. Прошу помочь в лечении.
Скачайте [URL="http://www.online-solutions.ru/files/ru/osam_autorun_manager_5_0.msi"]"OSAM"[/URL] Online Solutions Autorun Manager. В меню драйверов правой кнопкой по [B]coifwwv[/B] и выберите [B]"Turn Run Off"[/B]. Перезагрузку подтвердите.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('coifwwv');
QuarantineFile('C:\WINDOWS\system32\Drivers\coifwwv.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\coifwwv.sys');
BC_DeleteSvc('coifwwv');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи АВЗ
Спасибо, этот файл удалился.
А в логах ничего больше подозрительного нет?
Карантин закачал.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\panuas.sys','');
BC_ImportAll;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Скрипт выполнил.
Карантин выслал.
Что сейчас с проблемой?
Спасибо, вроде нормально.
Вопрос: что за файл panuas.sys?
И еще: в логе virusinfo_syscure.htm в модуле пространства ядра сидит файл spgo.sys, а в логе virusinfo_syscheck.htm в модуле пространства ядра файл spnr.sys. Не подскажете, что это за файлы.
[QUOTE='mamut;725905']что за файл panuas.sys?[/QUOTE] Замечен в подозрительных не был.
[QUOTE='mamut;725905']сидит файл spgo.sys, а в логе virusinfo_syscheck.htm в модуле пространства ядра файл spnr.sys[/QUOTE] Это драйверы эмулятора диска, Daemon Tools.
Большое спасибо, все работает нормально.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\coifwwv.sys - [B]Rootkit.Win32.Agent.biiu[/B] ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )[/LIST][/LIST]