Показано с 1 по 8 из 8.

Rootkit.Win32.Protector.bd (хрен удалить) (заявка № 34767)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2008
    Сообщений
    4
    Вес репутации
    34

    Thumbs up Rootkit.Win32.Protector.bd (хрен удалить)

    Чтоже товарищи проблема в следующеm: Удалено вирус Rootkit.Win32.Protector.bd C:\System Volume Information\_restore{70F88B90-F9C6-4434-AB92-C131584074E4}\RP72\A0013262.sys (И так 5 штук меняется только имя sys файла...)
    AVP его "вроде" как успешно удаляет, но как только происходит ребут системы, файл благополучно восстанавливается, вот его лога 2.
    Подскажите как уБрать зверёныша... Пробывал Авиру, ДрВеб, НоД, все находят а удалить не могут... Надеюсь поможите...
    логи в процесе... не сильно ругаемся, может кто знает более быстрый способ лечения сие твари)
    Если отключить востановление ситемы то вирь пропадает, но возвратив обратно востановление ситсемы, эти файлы вновь всплывают... Оч странно...
    СОбственно логи в студию
    http://slil.ru/26382014 hijackthis
    http://slil.ru/26382015 virusinfo_syscheck.zip
    http://slil.ru/26382016 virusinfo_syscure.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключите Восстановление системы.
    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлC:\WINDOWS\system32\Drivers\ati5pvxx.sys.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati5pvxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati0syxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4kpxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7bhxx.sys');
     DeleteFile('C:\WINDOWS\System32\rs32net.exe');
    BC_ImportAll;
    BC_DeleteSvc('ati5pvxx');
    BC_DeleteSvc('ati7bhxx');
    BC_DeleteSvc('ati4pvxx');
    BC_DeleteSvc('ati4kpxx');
    BC_DeleteSvc('ati2wcxx');
    BC_DeleteSvc('ati0syxx');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=34767

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    29.11.2008
    Сообщений
    4
    Вес репутации
    34
    Проблема "IceSword.
    Запустите программу." При запуске программы синий экран и ребут... Может удалить в ручную?

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Пропустите пока пункт с IceSword и выполняйте дальше.

  6. #5
    Junior Member Репутация
    Регистрация
    29.11.2008
    Сообщений
    4
    Вес репутации
    34
    Перешёл в безопасный режим, и проделал все операции там... Там всё работает...
    Загрузил карантин как сказано выше.
    Файл сохранён как 081129_055646_virus_49312dfec7010.zip
    Размер файла 95249
    MD5 1779019fb7b6bf835194b722d25b686c

    Вот зеркало http://slil.ru/26382171

    Добавлено через 1 час 43 минуты

    Востановление системы можно включить? (Прошлый раз, когда было отключено востановление ситемы вири тоже не палились, но как только кулючаем востановление сразу появляются вири)

    Вот совственно новые логи:
    http://slil.ru/26382322virusinfo_syscheck.zip
    http://slil.ru/26382323virusinfo_syscure.zip
    http://slil.ru/26382324hijackthis1.rar
    Последний раз редактировалось LOVE-LEO; 29.11.2008 в 16:20. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Ничего зловредного в логах нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    29.11.2008
    Сообщений
    4
    Вес репутации
    34
    Благодарю всех участников за помошь!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 17
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) LOVE-LEO, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 10.11.2010, 15:26
    2. Rootkit.Win32.ZAccess.q помогите удалить
      От igcom в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.09.2010, 13:17
    3. Win32/Protector.C и Win32/Rootkit.Agent.NKB (ESET)
      От Ariete в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.10.2009, 01:00
    4. Ответов: 4
      Последнее сообщение: 12.03.2009, 14:39
    5. Помогите удалить Rootkit.Win32.Small.bk
      От Камень в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00344 seconds with 16 queries