Printable View
Оставим пока. Скачайте [URL="http://rootrepeal.googlepages.com/RootRepeal.zip"]RootRepeal.[/URL] Загрузитесь в безопасном режиме.
[QUOTE]C:/WINDOWS/system32/drivers/wetkikgd.sys[/QUOTE]
В RootRepeal правой кнопкой мыши выберите Wipe File и на перезагрузку...
После сделайте лог в обычном режиме [url]http://virusinfo.info/showthread.php?t=40120[/url]
Сделал.. выдало сообщение Invalid Path!
делать логи?
[QUOTE=nadoelo;538909]делать логи?[/QUOTE]
Да, пока только лог RootRepeal.
никак... при попытке сканирования система зависает
Попробуйте в безопасном режиме и еще лог Gmer повторите.
[QUOTE=Aleksandra;538957]Попробуйте в безопасном режиме и еще лог Gmer повторите.[/QUOTE]пробовал и в безопасном... виснет
вот лог Gmer
У Вас есть LiveCD? Попробуйте загрузиться через него, найти в системе драйвер и переместить (не скопировать!) его в другое место, например, на флешку. Если в LiveCD сможете его сразу и заархивировать - вообще отлично, потому как после загрузки НОД у Вас этот файл сразу удалит, а хотелось бы заполучить мерзавца.
[QUOTE=gjf;539007]У Вас есть LiveCD? [/QUOTE]нет
Скачайте :
[URL="ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso"]LiveCD от DrWeb[/URL] или [URL="http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso"]Rescue Disc от Kaspersky Lab[/URL]. Образ диска желательно скачать на здоровом компьютере, записать на чистый диск, а затем загрузиться с него на заражённой машине.
Так и думал сделать... завтра постараюсь
Сделал LiveCD... переместил файл на флешку... неуверен что зархивировал.. но на флешке он имеет вид wetkikgd.sys.bz2
НОД находит его определяет как Win32/Agent.QMR троян, но не предлагает никаких действий ...
В таком виде он вам нужен? Или можно форматировать флешку?
Проблема с загрузкой процессора вроде исчезла...
Вот этот файл сожмите в zip-архив с паролем virus и пришлите по красной ссылке сверху (карантин).
Повторите логи AVZ.
архив закачал в карантин.. вот логи
Уже хорошо - главного зловреда избавились. Теперь выполните такой скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После загрузки пришлите карантин.
сделано
Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscheck.zip[/I]
сделано
Чисто! [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
[B]В обязательном порядке установите Сервис Пак 3[/B] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ.
:hat:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \wetkikgd.sys.bz2 - [B]Rootkit.Win32.Agent.aaba[/B] ( DrWEB: archive: Trojan.Packed.600, NOD32: Win32/Agent.QMR trojan )[/LIST][/LIST]