-
Junior Member
- Вес репутации
- 49
Скрытый драйвер aswarkarn и вирусы в system volume information
Здрайствуйте!Вчера с помощью с помощью софта обнаружил странный скрытый драйвер aswarkarn.Немного поискав в гугле понял что это вирус.Удалить не могу так как он скрытый.Также аvast antirootkit нашел в system volume information кучу вирусов,удалить он их не может после 10 мин работы постоянно с ошибкой вылетает..Будьте добры посмотрите логи.
Последний раз редактировалось imilBet; 12.02.2011 в 18:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aswArKrn');
QuarantineFile('?.exe','');
DeleteFile('?.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\aswArKrn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Cкрипт выполнил,карантин отправил,логи прилагаются:
-
1.Профиксите в HijackThis
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2.Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 49
В hijackthis пофиксил.В avz скрипт выполнил,только при выполнении была ошибка, но всё таки в конце было написано что скрипт был выполнен без ошибок.
Вот логи:
-
Заразы в логах не видно.
Для очистки от мусора выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE');
DeleteFile('C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2011a\Events.dll');
DeleteFile('C:\Program Files\Unlocker\UnlockerAssistant.exe');
DeleteFile('C:\WINDOWS\System32\drivers\AmdLLD.sys');
DeleteFile('C:\WINDOWS\System32\drivers\AmdPPM.sys');
ExecuteSysClean;
BC_DeleteSvc('KProcWatch');
BC_DeleteSvc('MEMSWEEP2');
BC_DeleteSvc('Monfilt');
BC_DeleteSvc('ntiomin');
BC_DeleteSvc('OSCI_DRVNT');
BC_DeleteSvc('SANDRA');
BC_DeleteSvc('sptd');
BC_DeleteSvc('TotRec8');
BC_DeleteSvc('Ambfilt');
BC_DeleteSvc('AmdLLD');
BC_DeleteSvc('AmdPPM');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Cкрипт выполнил,вот запрошеный лог:
-
Junior Member
- Вес репутации
- 49
А ещё забыл сказать что Avast antirootkit выдал что подменены значения реестра.
Последний раз редактировалось imilBet; 13.02.2011 в 15:47.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Всмысле ничего подозрительного?если да, то спасибо)
-
Да. На здоровье!
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-