-
Junior Member
- Вес репутации
- 52
Помогите с удалением Win32.Small.axz
Система - WindowsXP SP3. На уже зараженной системе установлены последние патчи и выполнена sfc /scannow.
Утилита от Касперского проверку не заканчивает (последняя попытка - 14 часов - 65%).
При подключении флешки на ней создается файл boot.exe, который детектируется как Win32.Small.axz
Выкладываю логи согласно правил
P.S. Может информация поможет... При загрузке системы servises.exe вызывает ошибку
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\linkinfo.dll','');
QuarantineFile('C:\windows\system32\regedit.exe','');
QuarantineFile('C:\Windows\system32\Drivers\sujochxc.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\nvmini.sys','');
DeleteFile('C:\WINDOWS\linkinfo.dll');
DeleteFile('C:\windows\system32\regedit.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\Windows\system32\DRIVERS\nvmini.sys');
DeleteFile('C:\Windows\system32\Drivers\sujochxc.sys');
BC_DeleteSvc('sujochxc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
-
-
Junior Member
- Вес репутации
- 52
Прошу прощения за длительное отсутствие. Скрипты выполнил, карантин загружен, повторные логи высылаю
-
Карантин точно загрузили? Не видно его. Попробуйте еще раз загрузить.
Так же у вас еще кое-что появилось... Лечить будем следующим образом (делайте все в указанной последовательности):
Установите все последние обновления Windows и IE. Без этого удаление может быть бесконечным.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\USER\msgvn.exe','');
DeleteFile('C:\Documents and Settings\USER\msgvn.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine_2.zip');
end.
Загрузите quarantine_2.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Вставьте все флешки, которые использовались на данном компьютере.
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
Клиентами P2P пользуетесь? (пиринг, StrongDC, EMule и т.п.)
-
-
Junior Member
- Вес репутации
- 52
Обновления установил( даже медиаплеера ). Карантин загружен, при попытке повторно загрузить первый карантин появляется сообщение, что файл уже загружался. Логи прикрепил. P2P не используется
-
Удалите в MBAM:
Код:
HKEY_CURRENT_USER\SOFTWARE\C8H1KKCTZV (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Rbuvaa.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\$NtServicePackUninstall$\ndis.sys.000 (Rootkit.Kobcka) -> No action taken.
C:\WINDOWS\system32\drivers\sujochxc.sys (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users\Application Data\common.data (Malware.Trace) -> No action taken.
C:\WINDOWS\Temp\winsp1upd.dll (Rogue.Agent) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
Сделайте для контроля новый лог virusinfo_syscheck.zip и приложите.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\msgvn.exe - P2P-Worm.Win32.Palevo.atba ( DrWEB: Trojan.Packed.21552, BitDefender: Win32.Worm.Rimecud.Y, NOD32: Win32/Peerfrag.IB worm, AVAST4: Win32:MalOb-CS [Cryp] )
-