Здравствуйте, только вчера вроде все нормально было, а сегодня на тебе
логи прилогаю
Здравствуйте, только вчера вроде все нормально было, а сегодня на тебе
логи прилогаю
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteWizard('TSW', 2, 2, true); QuarantineFile('C:\WINDOWS\system32\drwat32.exe',''); QuarantineFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp 0yAAAAAAAA',''); QuarantineFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp',''); QuarantineFile('C:\WINDOWS\system32\Drivers\jeganiy.sys',''); DeleteFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp 0yAAAAAAAA'); DeleteFile('C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\..\svp.tmp'); DeleteFile('C:\WINDOWS\system32\Drivers\jeganiy.sys'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jeganiy'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Файл сохранён как 100407_135513_virus_4bbc5681bac94.zip
Размер файла 2676641
MD5 3520076f08af8dd4076370b7b03e58a1
лог по пункту 2
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip'); QuarantineFile('C:\WINDOWS\system32\Drivers\jeganiy.sys',''); BC_DeleteSvc('jeganiy'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\jeganiy'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jeganiy'); DeleteFile('C:\WINDOWS\system32\drwat32.exe'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Последний раз редактировалось AndreyKa; 07.04.2010 в 14:30.
Файл сохранён как100407_143726_virus_4bbc606663113.zipРазмер файла606MD578283d3dd89aa1ea83ac019a7cd7e27a
Через 5 минут после того как ответил, понял, что пропустил кое что и исправил скрипт, но вы уже его запустили. Повторите всё, что написано в сообщении № 4, кроме отправки карантина.
лог
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
А это нормально?Ошибка карантина файла, попытка прямого чтения (.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\aqrpl54f.SYS)
Карантин с использованием прямого чтения - ОК
...
Файл сохранён как100407_154906_virusinfo_files_DELOTEHNIKI_4bbc7 132262ec.zipРазмер файла13771694MD5e71c0b0b423605da6f52c71fd45a3eb4
Последний раз редактировалось AndreyKa; 07.04.2010 в 17:43. Причина: излишнее цитирование
1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте C:\WINDOWS\system32\Drivers\jeganiy.sys в другую папку и переименуйте
3. Удалите файл в исходном месте
4. Загрузитесь в нормальном режиме
5. Отключите временно антивирус
6. Запакуйте переименованный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
7. Сделайте новые логи AVZ
Файл сохранён как 100407_173820_virusinfo_jeganiy_4bbc8accca7fc.zip
Размер файла 840198
MD5 b4a42bc64df943433e2d8e606fb08bb8
лог прилагается
Пофиксте в HijackThis строку:
Проблема решена?F2 - REG:system.ini: O4 - HKCU\..\Policies\Explorer\Run: [Urgent System Check] C:\WINDOWS\system32\drwat32.exe
Точно сейчас сказать не могу, в процессе работы за компом будет видно, огромное спасибо!
У Вас был еще и Катес. Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 35
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drwat32.exe - Backdoor.Win32.Agent.arls
- \virusinfo_jeganiy.sys - Rootkit.Win32.Bubnix.k ( DrWEB: Trojan.NtRootKit.6990, BitDefender: Gen:Rootkit.Nixoa.1, AVAST4: Win32:Qandr [Rtk] )
Уважаемый(ая) Sumrak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.