Здравствуйте!
На ПК, подключенном к интернет, был установлен NOD32. Базы данных не обновлялись более 6 мес. Недавно была выполнена проверка ПК Virus Removal TOOL. Есть подозрение, что не все вычистилось.
Логи во вложении.
Заранее спасибо.
Printable View
Здравствуйте!
На ПК, подключенном к интернет, был установлен NOD32. Базы данных не обновлялись более 6 мес. Недавно была выполнена проверка ПК Virus Removal TOOL. Есть подозрение, что не все вычистилось.
Логи во вложении.
Заранее спасибо.
Профиксить:
[CODE]O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe[/CODE]
C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111\ -- надо почистить.
Плюс висят autorun, явно с флешки.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De156\system32\ICQ2003Decrypt.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De153\popcaploader.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De156\system32\ICQ2003Decrypt.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
Сделать заново логи.
Пофиксил: "O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe"
Попытался удалить все файлы из папки C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111\/
при удалении по многим файлам, например 1394bus.sys, 4mmdat.sys, вылетает сообщение - Access denied и соответственно не позволяет удалить.
Скрипт прогнал. Новые логи и карантин во вложениии.
d1vmq.exe - вот такое со всех дисков надо удалить.
virus.zip отсюда удалить, грузить по красной ссылке.
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111','*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2 , прислать лог.
Карантин закачал по красной ссылке.
Поиск d1vmq.exe по локальным дискам результата не дал. Искал стандартным поиском Windows и Farом.
Дошел ли до Вас карантин?
Может быть отправить повторно?
Карантин дошел. Ответ завтра после 9МСК.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111 - файлы удалились из этой директории?
День добрый!
Удалились не все. На данный момент в папке присутствуют файлы:
ntldr
reg00001
.............
reg00201
Всего 129 файлов без расширения.
Попробовал удалить вручную - удалились
not-a-virus : PSWTool.Win32.ICQ.ap - в карантине плюс
C:\autorun.inf - новый (Trojan.Win32.AutoRun.wm)
Что посоветуете сделать?
Думается, надо на аську пароль сменить.
Пароль на аську сменил.
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\autorun.inf - [B]Trojan.Win32.AutoRun.wm[/B][*] c:\recycler\s-1-5-21-1726924525-2148517982-2228487978-1263\de156\system32\icq2003decrypt.dll - [B]not-a-virus:PSWTool.Win32.ICQ.ap[/B] ( DrWEB: Trojan.PWS.M2.192, BitDefender: Win32.HLLW.Bizex.A, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]