-
Оставим пока. Скачайте RootRepeal. Загрузитесь в безопасном режиме.
C:/WINDOWS/system32/drivers/wetkikgd.sys
В RootRepeal правой кнопкой мыши выберите Wipe File и на перезагрузку...
После сделайте лог в обычном режиме http://virusinfo.info/showthread.php?t=40120
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Сделал.. выдало сообщение Invalid Path!
делать логи?
-
Сообщение от
nadoelo
делать логи?
Да, пока только лог RootRepeal.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
никак... при попытке сканирования система зависает
-
Попробуйте в безопасном режиме и еще лог Gmer повторите.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Aleksandra
Попробуйте в безопасном режиме и еще лог Gmer повторите.
пробовал и в безопасном... виснет
вот лог Gmer
-
У Вас есть LiveCD? Попробуйте загрузиться через него, найти в системе драйвер и переместить (не скопировать!) его в другое место, например, на флешку. Если в LiveCD сможете его сразу и заархивировать - вообще отлично, потому как после загрузки НОД у Вас этот файл сразу удалит, а хотелось бы заполучить мерзавца.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
gjf
У Вас есть LiveCD?
нет
-
Скачайте :
LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска желательно скачать на здоровом компьютере, записать на чистый диск, а затем загрузиться с него на заражённой машине.
-
-
Junior Member
- Вес репутации
- 53
Так и думал сделать... завтра постараюсь
-
Junior Member
- Вес репутации
- 53
Сделал LiveCD... переместил файл на флешку... неуверен что зархивировал.. но на флешке он имеет вид wetkikgd.sys.bz2
НОД находит его определяет как Win32/Agent.QMR троян, но не предлагает никаких действий ...
В таком виде он вам нужен? Или можно форматировать флешку?
Проблема с загрузкой процессора вроде исчезла...
-
Вот этот файл сожмите в zip-архив с паролем virus и пришлите по красной ссылке сверху (карантин).
Повторите логи AVZ.
-
-
Junior Member
- Вес репутации
- 53
архив закачал в карантин.. вот логи
-
Уже хорошо - главного зловреда избавились. Теперь выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После загрузки пришлите карантин.
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 53
-
Чисто!
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- \wetkikgd.sys.bz2 - Rootkit.Win32.Agent.aaba ( DrWEB: archive: Trojan.Packed.600, NOD32: Win32/Agent.QMR trojan )
-