Здравствуйте!
На ПК, подключенном к интернет, был установлен NOD32. Базы данных не обновлялись более 6 мес. Недавно была выполнена проверка ПК Virus Removal TOOL. Есть подозрение, что не все вычистилось.
Логи во вложении.
Заранее спасибо.
Здравствуйте!
На ПК, подключенном к интернет, был установлен NOD32. Базы данных не обновлялись более 6 мес. Недавно была выполнена проверка ПК Virus Removal TOOL. Есть подозрение, что не все вычистилось.
Логи во вложении.
Заранее спасибо.
Последний раз редактировалось Buratino_25; 13.01.2010 в 13:20.
Профиксить:
C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111\ -- надо почистить.Код:O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Плюс висят autorun, явно с флешки.
Выполнить:
Прислать карантин по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De156\system32\ICQ2003Decrypt.dll',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De153\popcaploader.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De156\system32\ICQ2003Decrypt.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил: "O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe"
Попытался удалить все файлы из папки C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111\/
при удалении по многим файлам, например 1394bus.sys, 4mmdat.sys, вылетает сообщение - Access denied и соответственно не позволяет удалить.
Скрипт прогнал. Новые логи и карантин во вложениии.
Последний раз редактировалось Buratino_25; 13.01.2010 в 13:45.
d1vmq.exe - вот такое со всех дисков надо удалить.
virus.zip отсюда удалить, грузить по красной ссылке.
Добавлено через 8 минут
Выполнить:
Повторить станд. скрипт №2 , прислать лог.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111','*.*',true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 13.01.2010 в 13:48. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин закачал по красной ссылке.
Поиск d1vmq.exe по локальным дискам результата не дал. Искал стандартным поиском Windows и Farом.
Последний раз редактировалось Buratino_25; 13.01.2010 в 14:01.
Дошел ли до Вас карантин?
Может быть отправить повторно?
Карантин дошел. Ответ завтра после 9МСК.
Добавлено через 1 минуту
C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111 - файлы удалились из этой директории?
Последний раз редактировалось PavelA; 13.01.2010 в 22:16. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
День добрый!
Удалились не все. На данный момент в папке присутствуют файлы:
ntldr
reg00001
.............
reg00201
Всего 129 файлов без расширения.
Попробовал удалить вручную - удалились
Последний раз редактировалось Buratino_25; 14.01.2010 в 10:06.
not-a-virus : PSWTool.Win32.ICQ.ap - в карантине плюс
C:\autorun.inf - новый (Trojan.Win32.AutoRun.wm)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Что посоветуете сделать?
Думается, надо на аську пароль сменить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пароль на аську сменил.
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\autorun.inf - Trojan.Win32.AutoRun.wm
- c:\recycler\s-1-5-21-1726924525-2148517982-2228487978-1263\de156\system32\icq2003decrypt.dll - not-a-virus:PSWTool.Win32.ICQ.ap ( DrWEB: Trojan.PWS.M2.192, BitDefender: Win32.HLLW.Bizex.A, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Buratino_25, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.