Вирус обнаружен, но не удаляется

Printable View

15.09.2008, 15:41
Ярик

Вирус обнаружен, но не удаляется

КАV обнаруживает вирус trojan.win32.agent.aceo (файл wstest.dll в системной папке) и сообщает, что вирус будет удален после перезагрузки. Однако вирус появляется вновь. Посмотрите, пожалуйста.
15.09.2008, 15:53
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wstest.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\111\Filemon.exe','');
DeleteFile('C:\WINDOWS\system32\wstest.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи´по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
15.09.2008, 16:50
Ярик

Карантин закачал. Повторные логи.
15.09.2008, 16:54
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\wstest.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи´по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
15.09.2008, 17:42
Ярик

После выполнения скрипта не загружается рабочий стол.
Высылаю новые логи и карантин. Продолжим, наверное, уже утром :))
15.09.2008, 17:50
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
executerepair(5);
executerepair(6);
executerepair(8);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
16.09.2008, 09:08
Ярик

Рабочий стол восстановился. Но и файл wstest.dll по-прежнему остается после перезагрузки.
Может попробовать IceSword?
16.09.2008, 10:12
Rene-gad

[QUOTE=Ярик;284108]Но и файл wstest.dll по-прежнему остается после перезагрузки.[/QUOTE]Выполните проверку CureIt в безопасном. Удалить IceSword ом не проблема, проблема в том, что файл откуда-то восстанавливается.
16.09.2008, 11:52
Ярик

Вы правы, файл восстановился и после удаления его CureIt'ом в безопасном режиме.
16.09.2008, 11:58
Rene-gad

1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. Активируйте[URL="http://virusinfo.info/showthread.php?t=12316"] AVZPM[/URL]
4. Перегрузить систему
5. Сделать 3 лога по правилам
16.09.2008, 13:41
Ярик

Логи с установленным AVZPM
16.09.2008, 13:44
Rene-gad

Ничего плохого не вижу... :O
16.09.2008, 13:57
Ярик

Там народ уже созрел, чтоб переустановить Винду. Но я их пока сдерживаю из научно-практического интереса :))
16.09.2008, 14:01
Rene-gad

Сделайте еще раз удаление CureIt ом, отсоедините ПК от сети и понаблюдайте. Может зловред через какую-то непатченную дыру из сети заходит?
16.09.2008, 14:04
Ярик

так сеть же отключена прямо с утра. и не подключалась ни разу
16.09.2008, 14:29
Rene-gad

[QUOTE=Ярик;284226]так сеть же отключена прямо с утра. и не подключалась ни разу[/QUOTE]
А файл этот сейчас через нормальный поиск находится?
16.09.2008, 15:02
Ярик

В safe mode находится. А при обычном запуске его на месте нет, он в резервном хранилище КАV
16.09.2008, 15:03
Rene-gad

[QUOTE=Ярик;284253]В safe mode находится. А при обычном запуске его на месте нет, он в резервном хранилище КАV[/QUOTE]А в safe mode - где? :O
16.09.2008, 15:22
Ярик

c:\windows\system32\wstest.dll
16.09.2008, 15:24
Rene-gad

[QUOTE=Ярик;284267]c:\windows\system32\wstest.dll[/QUOTE]Скачайте Malwarebytes Antimalware, запустите, не удаляйте ничего, лог - в студию.
16.09.2008, 17:42
Ярик

Пока я скачивал эту Antimalware, там уже начали наворачивать новую систему в другую папку. И что интересно, после установки зашли в старую папку windows, нашли зловреда, удалили вручную, и больше он не появлялся после перезагрузок.