-
Junior Member
- Вес репутации
- 52
Удаление вирса Palevo.rmm
День добрый, после лечения ПК от вируса Palevo.rmm, появилась проблема с 2-м ПК который находится в этой же сети.
Просьба помочь.
Переодически AVG показывает сообщение о том что вирус лезет в Temp. Вообщем таже история, которая уже была вот здесь
http://virusinfo.info/showthread.php?t=75026
Скрипты не хочу пробовать те которые приводились в этой теме, так как возможно повреждения реестра.
Логи привожу
Последний раз редактировалось forever; 18.08.2010 в 12:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\z\DoctorWeb\Quarantine\BitAccelerator.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6598992174-3080281485-958387091-8778\winncr.exe');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\ndll.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать новые логи после перезагрузки.
Загрузить карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Готово
Спасибо. PavelA
Все Сделал, как написали.
Файл сохранён как100406_185640_virusinfo_cure_4bbb4ba8c9e70.zip
Размер файла104273
MD50d42857494a5f9038b5267d6bc20ca05
Последний раз редактировалось forever; 19.04.2011 в 00:49.
-
В логах следы двух антивирусов: DrWeb, AVG. Оставьте только один
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','035');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сделал
Сделал.
Антивирус удалил, решил поставить Nod32.
Файл сохранён как100407_131228_virus_4bbc4c7ccfc45.zip
Размер файла104797
MD55d0e59281a0adc0595862e0f77e5dde3
Последний раз редактировалось forever; 19.04.2011 в 00:49.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\SRECOMOJA\nemasmalo.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\SRECOMOJA\nemasmalo.exe');
DeleteFileMask('F:\SRECOMOJA', '*.*', true);
DeleteDirectory('F:\SRECOMOJA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Дело в том что в предыдущий раз стояла флеха и она монтировалась на F просто сейчас рядом этой флехи нет.
На сколько я понимаю, thyrex этот скрипт можно не выполнять?
-
Флешка заражена. Подключите ее и выполните скрипт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Если ещё актуально, посмотрите пожалуйста
Эотот же ПК, вот добрался до него.
Логи привожу.
Извините за задержку.
Последний раз редактировалось forever; 19.04.2011 в 00:49.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
thyrex - Готово
Сообщение от
thyrex
Лог привожу.
Последний раз редактировалось forever; 19.04.2011 в 00:49.
-
Флешку подключали или ее уже почистили?
Почистите мусор
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Флешку почистил.
Остальное сделаю. Спасибо за помощь. На сколько я понимаю все ОК по логам?
Последний раз редактировалось forever; 22.04.2010 в 23:32.
Причина: спешка
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо
Сообщение от
thyrex
Логи в порядке
По деинсталяции Combofix не чего не получилось. пишет что такой команды нет. Это не страшно?
Ещё вопрос, как лучше уберегти себя от таких вот вирусов?
Может быть есть совет с антивирусом (пока что поставил IKARUS ) + Брандмауер ?
Ещё раз спасибо за потраченное время!
-
Нет команды Combofix /Uninstall ???
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Ага
Сообщение от
thyrex
Нет команды Combofix /Uninstall ???
Извиняйте. возможно не правильно ввел команду. так как на 2-м ПК где также ставил Combofix, все нормально деинсталировал.
Завтра попробую ещё раз удалить. Если что я отпишу.
Ещё раз спасибо!
Последний раз редактировалось forever; 23.04.2010 в 00:14.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\umdmgr.exe - P2P-Worm.Win32.Palevo.aaos ( DrWEB: Trojan.MulDrop1.11256, BitDefender: Trojan.Agent.APED, AVAST4: Win32:Malware-gen )
-