Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
Здравствуйте, помогите если можно. При сканировании компьютера жены такое сообщение: Оперативная память = svchost.exe(1300) - модифицированный Win32/Wigon троянская программа - очистка невозможна Как удалить его? До НОДа, иные антивирусы к сожалению не могли найти вирус, только НОД обнаружил но лечить невозможно. В приложении - образ автозапуска в uVS Заранее благодарен
Выполните следующий скрипт в uVS: - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива); - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена; - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши; - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить; - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее; - по окончанию выполнения скрипта компьютер перезагрузится. - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
Здравствуйте ещё раз, Спасибо за то что откликнулись с помощью. В uVS скрипт выполнил. После перезагрузки проблема осталась. Причем Mbam ничего не нашла. Лог Mbam во вложении (mbam-log-2012-10-23 (10-40-26). Также во вложении лог журнала обнаружения угроз threat.txt Прошу прощения за вопрос о дальнейших моих действиях.
Скажите пожалуйста, что это (извиняюсь по неосведомленности)
это основное тело Wigon (точнее не основное, а его ангел-хранитель...) + возможно еще и dll есть в системе (возможно будет видна после удаления драйвера) -----------
Цитата
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS Имя файла OFQ14.SYS Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE]
www.virustotal.com 2012-09-02 [2011-12-02 20:00:18 UTC ( 10 months, 3 weeks ago )] Symantec Downloader Avast Win32:QHost-CEK [Rtk] Kaspersky Trojan-Dropper.Win32.Mutant.cp BitDefender Trojan.Generic.KDV.451904 DrWeb Trojan.Hosts.5006 AntiVir TR/Dldr.Cutwail.S.16 Microsoft TrojanDownloader:Win32/Cutwail.S
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE] Размер 49472 байт Создан 27.04.2012 в 12:37:46 Изменен 22.10.2012 в 23:25:46 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами
Доп. информация на момент обновления списка SHA1 61EAC5A912D4115B7B0952A9270BDA37F367D7E8 MD5 EEAD00997932B94D6690C76EEFE9369C
Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\Ofq14.sys\
Огромное вам всем спасибо!!! После выполнения последнего скрипта и проверки затем НОДом вирусов не обнаружено. Во вложении - образ автозапуска в uVS после всех манипуляций. Касперского придется удалить... Рекомендации по актуализации и обновлению ПО и браузеров выполню. Как то я раньше зря сюда не заглядывал... Ещё раз огромное спасибо!