студент_86 Опубликовано 22 мая, 2008 Жалоба Поделиться Опубликовано 22 мая, 2008 (изменено) Здравствуйте! Ощущение что поймал вирус. в avz если выбрать в настройках пункт "Блокировать работу RootKit Kernel-Mode" то система падает в синий экран. В логе нашел много чего, почистил, но никак не могу убрать Pqg39.sys, при сканировании avz пишет что он сидит в потоке ntfs. Подскажите пожалуйста что и как надо сделать. и просто проверьте лог, потому что своего опыта мало. Спасибо 20080522_3_avz_sysinfo.zip 20080522_3_avz_sysinfo.zip Изменено 22 мая, 2008 пользователем студент_86 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 22 мая, 2008 Жалоба Поделиться Опубликовано 22 мая, 2008 (изменено) C:\Documents and Settings\Sergey\Главное меню\Программы\Автозагрузка\start_clean.bat - это Ваше? 1.Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\drivers\Pqg39.sys. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". 2. Без перезагрузки: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');DeleteFile('C:\WINDOWS\system32\drivers\Pqg39.sys');DeleteFile('Pqg39.sys');DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');BC_ImportAll;BC_DeleteSvc('Pqg39');ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. 3. Затем: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @, в теле письма укажите ссылку на тему. Повторите логи. Если получатся, то все 3 согласно Правила подраздела Изменено 22 мая, 2008 пользователем wise-wistful Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
студент_86 Опубликовано 22 мая, 2008 Автор Жалоба Поделиться Опубликовано 22 мая, 2008 wise-wistful: Спасибо за помощь. Правда пошло все немного не так. C:\WINDOWS\system32\drivers\Pqg39.sys - там его не было. Повозившись, просто просканировал все cureit, тот нашел экзешник found.exe.exe (распознал как Trojan.Packed.468) в system32, после удаления все стало нормально. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 22 мая, 2008 Жалоба Поделиться Опубликовано 22 мая, 2008 То что cureit удалил - это хорошо. Вы скрипт для АВЗ выполняли? Если нет то выполните. И сделайте новые логи согласно Правил подраздела Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.