При загрузке системы NOD 32 обнаруживает зараженный file.bat
При этом каждый раз хочет установиться драйвер непонятно какого устройства
В диспетчер устройств не пускает
При загрузке системы NOD 32 обнаруживает зараженный file.bat
При этом каждый раз хочет установиться драйвер непонятно какого устройства
В диспетчер устройств не пускает
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('botdrv'); QuarantineFile('C:\WINDOWS\system32\driver.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys',''); DeleteFile('C:\WINDOWS\system32\driver.sys'); DeleteService('botdrv'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('botdrv'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Теперь NOD ругается на
C:\WINDOWS\system32\drivers\restore.sys a variant of Win32/Wigon trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Temp\BN31.tmp.
Отключить а/вирус!!!
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\Startuplogo\Startup.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys',''); BC_DeleteSvc('restore'); QuarantineFile('C:\WINDOWS\system32\spoolsv.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\restore.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43395
Профиксить:
Код:O4 - HKLM\..\Run: [Window UDP Control Servic] winlogon.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил
Пофиксил
Не удаляется зараза, крепко засела.
Надо подождать ответа по карантину.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
NDIS.sys пришлите согласно приложению 2 правил...
AVZ при добавлении в карантин выдает:
Ошибка карантина файла, попытка прямого чтения (NDIS.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\NDIS.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\NDIS.sys)
Карантин с использованием прямого чтения - ошибка
Найдите его там, запакуйте в архив с паролем "virus" и пришлите по красной ссылке...Код:C:\WINDOWS\system32\NDIS.sys
Отправил
Есть шансы?
ndis.sys
Вредоносный код в файле не обнаружен.
Сделайте свежие логи...
Логи
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SetAVZGuardStatus(True); DeleteService('restore'); QuarantineFile('c:\windows\temp\bn9.tmp',''); TerminateProcessByName('c:\windows\temp\bn9.tmp'); DeleteFile('c:\windows\temp\bn9.tmp'); DeleteFile('C:\WINDOWS\system32\drivers\restore.sys'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('restore'); BC_Activate; RebootWindows(true); end.
Логи
Карантин закачал
Сделайте полную проверку AVPTool и повторите логи...
Логи
bn9.tmp - Email-Worm.Win32.Iksmas.ape - этого удалили.
Проблемы остались.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Переустановка винды?
Поищите на диске вот этот файлик:
C:\WINDOWS\system32\drivers\restore.sys
Выполнить:
Повторить логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('restore'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
C:\WINDOWS\system32\drivers\restore.sys
Не находит
Опять появляется bxx.tmp
Уважаемый(ая) tassajara, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.