После загрузки системы Symantec AntiVirus дает сообщение что файл заражен Trojan.Pandex. Излечить не может, удаляеет.
Утилита CureIt ничего не нашла.
Вот логи.
Printable View
После загрузки системы Symantec AntiVirus дает сообщение что файл заражен Trojan.Pandex. Излечить не может, удаляеет.
Утилита CureIt ничего не нашла.
Вот логи.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\JKBHQJIM.exe','');
BC_DeleteSvc('Winah06');
BC_DeleteSvc('Winvc17');
QuarantineFile('C:\DOCUME~1\LBS~1.MUL\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\YKNJRTWW.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\msauc.exe','');
DeleteFile('c:\windows\msauc.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
SysCleanAddFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\JKBHQJIM.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.0 или удалите старый.
Скрипты выполнил. Карантин отослал. Вот новые логи.
Пока не удалось деинсталировать Adobe Acrobat Reader.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winub17');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub17.sys');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINDOWS\system32\drivers\YKNJRTWW.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Пофиксил. Скрипты выполнил. Вот новые логи.
Удалось деинсталировать Adobe Acrobat Reader.
Почему-то опять появилась пофиксенная ранее O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file). Я опять ее пофиксил.
В логах чисто, жалобы есть?
При старте компьютера Symantec AntiVirus дал следующие сообщения для нескольких файлов:
Угроза: Trojan Horse; Packed.Generic.182.
Вот новые логи.
Symantec пытается себя реабилитировать :)
Покажите скриншоты его сообщений или процитируйте их точно (имена файлов, пути к ним).
На самом деле у вас были:
C:\WINDOWS\system32\WinCtrl32.dll = Trojan-Downloader.Win32.Mutant.bqb
c:\windows\msauc.exe = Trojan.Win32.Pakes.lbp
C:\WINDOWS\system32\drivers\YKNJRTWW.sys = Rootkit.Win32.Pakes.k
Symantec не один из них не детектирует до сих пор:
[url]http://www.virustotal.com/ru/analisis/b9f4aad509de2a5bb874da8a9e3d59d6[/url]
[url]http://www.virustotal.com/ru/analisis/67cbbe325ac68d6f516a03bb60c1c095[/url]
[url]http://www.virustotal.com/ru/analisis/1e545679638263432b4583a7ca278b01[/url]
Сейчас проверяю компьютер CureIt в Safe Mode.
Скриншоты Symantec AntiVirus не сохранил. Вот все что есть по поводу сообщения Symantec:
Угроза: Trojan Horse
Угроза: Packed.Generic.182
Действие: Исправить не удалось: Изолировать не удалось: Доступ закрыт
А это список файлов, которые были в сообщениях Symantec AntiVirus:
C:\WINDOWS\system32\wpv4522.cpx
C:\WINDOWS\system32\wpv3120.cpx
C:\WINDOWS\system32\wpv4522.cpx
C:\WINDOWS\system32\wpv3120.cpx
Файлов таких на компьютере не нашел. Но пока не искал эти файлы с помощью AVZ.
Я понял что надо срочно менять Symantec AntiVirus! А на что?
Симантек находил драйвер AVZ :)
Кстати,
C:\WINDOWS\system32\WinCtrl32.dll = Trojan-Downloader.Win32.Mutant.bqb
, этот троян появляется у меня на компе уже не в первый раз.
WinCtrl32.dll это наверное самое распространенное имя для троянского файла. Обычно заражает компьютер со взломанных сайтов через незакрытые уязвимости в браузере и программах отображающих их содержимое (Flash, Acrobat Reader).
Из бесплатных антивирусов советую AntiVir [url]http://www.free-av.com/[/url]
Большое спасибо за объяснения и совет!
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 49 минут[/I][/B][/color][/size]
Стал проверять систему в безопасном режиме. CureIt не нашел ничего. А вот что нашел AVPTool:
обнаружено: потенциально опасное ПО not-a-обнаружено: троянская программа Trojan.Win32.Pakes.lbp Файл:
C:\WINDOWS\system32\wpv199.cpx
обнаружено: троянская программа Trojan-Downloader.Win32.Obfuscated.dur Файл:
C:\WINDOWS\system32\wpv3120.cpx
обнаружено: троянская программа Trojan-Downloader.Win32.Obfuscated.dul Файл:
C:\WINDOWS\system32\wpv4522.cpx
обнаружено: троянская программа Trojan.Win32.Pakes.lbp Файл:
C:\WINDOWS\system32\wpv986.cpx
Эти файлы есть на диске, а свойства показывают, что это Майкрософтовский ДВД апгрейт. Дата этих файлов сегодняшня. Это действительно трояны?
Запакуйте их в архив с паролем "virus" и пришлите нам как карантин, курит врядле ошибается :)
К сожалению я уже удалил эти файлы. Правда AVPTool сказал, что поместил их в карантин. Но папочка карантина пуста. Есть файлы с расширением klq в папочке бэкапа, примерно совпадает кол-во файлов и время создания. Эти файлы можно выслать?
Попробуйте...
Карантин выслал.
То, что появляются новые трояны, значит, что что то еще осталось :(
StepIn, установите AVZPM через меню в AVZ.
Перезагрузите компьютер.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
вот логи по п.2.
А как карантин от AVPTool, удалось что-то увидеть?