собственно сабж...после перезагрузки нод выдает:Threat found, object:c:\windows\system32\drivers\ati5prxx.sys
a variant of win32/wigon trojan]
сам не лечит
собственно сабж...после перезагрузки нод выдает:Threat found, object:c:\windows\system32\drivers\ati5prxx.sys
a variant of win32/wigon trojan]
сам не лечит
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>Код:C:\WINDOWS\System32\Drivers\ati5ylxx.sys C:\WINDOWS\System32\Drivers\ati6lcxx.sys C:\WINDOWS\System32\Drivers\ati5prxx.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('ati6lcxx'); StopService('ati5ylxx'); StopService('ati5prxx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati6lcxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati5ylxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati5prxx.sys',''); DeleteService('Bonjour Service'); DeleteService('ati6lcxx'); DeleteService('ati5ylxx'); DeleteService('ati5prxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6lcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5ylxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5prxx.sys'); DeleteFile('c:\program files\bonjour\mdnsresponder.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati6lcxx'); BC_DeleteSvc('ati5ylxx'); BC_DeleteSvc('ati5prxx'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
все сделал, чистил через avz. когда искал файл в icesword обнаружил в той-же папке файлы с похожими именами и созданные в тот же день как и этот, только через несколько минут, имена: ati1**xx.sys, их штук 10 с разными буквами вместо звездочек. а также есть подобные файлы в папке system32, созданные в это же время
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Сделайте полную проверку CureIT и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('msansspc.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Все проверил, по дороге нашел несколько троянов...кстати куда он перемещает их когда не может вылечить?(пишет: перемещен).
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Прикрепите лог log.txt из папки AVZ...Код:begin If DeleteFile('c:\WINDOWS\system32\drivers\etc\hosts') then AddToLog('файл удален')else AddToLog('файл не удален'); SaveLog('AVZDirectory+log.txt'); ExecuteRepair(13); RebootWindows(true); end.
Чисто...
Спасибо огромное!!! Все нормально, даже комп быстрее стал работать.
Вопрос вот только у меня(поздно наверное спрашивать уже...): а небезопастно выкладывать сюда все эти логи, ведь любой человек может их просмотреть...нет ли там инфы для взломщиков?..прошу прощения за нубство...
скажем так , любой приличный взломщик сможет получить и не такую информацию ....
Уважаемый(ая) wigon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.