Помогите с проблемой. Запуск explorer.exe и приложений делаю пока с помощью диспетчера задач. Попытка поставить Symantec закончилась неудачей. Судя по логам AVZ, вирус работает в Kernel Mode. Помогите аккуратно его убрать.
Заранее спасибо.
Помогите с проблемой. Запуск explorer.exe и приложений делаю пока с помощью диспетчера задач. Попытка поставить Symantec закончилась неудачей. Судя по логам AVZ, вирус работает в Kernel Mode. Помогите аккуратно его убрать.
Заранее спасибо.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twext.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati3inxx.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\ati3inxx.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\twext.exe'); DeleteFile('digeste.dll'); DeleteFile('msansspc.dll'); BC_Importall; ExecuteSysClean; BC_DeleteSvc('tcpsr'); BC_DeleteSvc('ati3inxx'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке
Повторите логи по правилам.
Добавлено через 11 минут
Отключите восстановление системы!
Последний раз редактировалось light59; 27.01.2009 в 16:21. Причина: Добавлено
Все сделал по инструкции.
Ситуация с ручным стартом explorer.exe не изменилась.
Карантин выложил. Повторные логи прилагаю.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\System32\drivers\65471a93.sys',''); BC_Importall; BC_Activate; RebootWindows(true); end.
Скрипт выполнил. При автоматической упаковке карантина в virus.zip файлы bcqr00001.dta и bcqr00002.dta в него почему-то не попали (только их соответствующие ini). Поэтому сформировал архив самостоятельно с паролем virus.
Добавлено через 2 часа 15 минут
Тему можно закрывать, спасибо.
Удалил следы: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2. На всякий случай восстановил userinit.exe (хотя вроде размер, дата и время совпадали). Перезагрузил - все заработало.
Буду благодарен, если подскажете, почему стартовал вход в систему через Winlogo2, а не Winlogon, если userinit.exe не подменялся.
Последний раз редактировалось Tathagata; 28.01.2009 в 12:32. Причина: Добавлено
в AVZ
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\65471a93.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\virtualnetwork\\virtualnetwork.dll - not-a-virus:AdTool.Win32.VirtualNetwork.a (DrWEB: Trojan.AdVirtualNetwork.2)
- \\2009-01-28\\bcqr00001.dta - Rootkit.Win32.Agent.gme
- \\2009-01-28\\bcqr00002.dta - Rootkit.Win32.Agent.gme
Уважаемый(ая) Tathagata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.