Trojan.Win32.Autoit.eg.

Printable View

04.11.2009, 13:25
Мурат

Trojan.Win32.Autoit.eg.

Здраствуйте подскажите как очистить комп от Trojan.Win32.Autoit.eg.
04.11.2009, 13:46
Rene-gad

Здравствуйте,

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('I:\autorun.inf','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
05.11.2009, 08:29
Мурат

Здраствуйте! Вчера я выполнил скрипт как Вы сказали и отправил запрошенный карантин подскажите пож-та что мне дальше делать Касперский IS 2010 лиценз. сборка 9.0.0.459 "Обнаружено вредоносное ПО" но не может удалить, кол-во обнаруженных угроз растет с каждым днем
05.11.2009, 10:11
Rene-gad

Присланные файлы вне подозрений (пока)

[QUOTE=Мурат;501196]Касперский IS 2010 лиценз. сборка 9.0.0.459 "Обнаружено вредоносное ПО" но не может удалить, кол-во обнаруженных угроз растет с каждым днем[/QUOTE]
Это значит: где-то (а где точно скажете Вы нам на основании протокола Касперского ) сидит файл, который Касперский при каждом проходе обнаруживает и записывает в блокнотик: ага, нашёл!!!

Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
Повторите в точности действия, описанные в п.2 раздела правил Диагностика, новый лог прикрепите к новому сообщению.
05.11.2009, 14:21
Мурат

Скачал Malwarebytes Anti-Malware, но он не обновляется, пишет
[COLOR=red]Обнаружена ошибка. Пожалуйста, отправьте код ошибки команде поддержки Malwarebytes Anti-Malware. Error code: 732 (0, 0)[/COLOR]
05.11.2009, 15:10
PavelA

Тогда сделайте лог без обновления.
07.11.2009, 12:14
Мурат

Здраствуйте сделал как Вы сказали
07.11.2009, 12:17
Мурат

Лог MBAM без обновления
07.11.2009, 12:19
thyrex

И где лог?
07.11.2009, 12:26
Мурат

Не получается отправить Лог MBAM без обновления
Тут сказано превышает размер
[B]mbam-log-2009-11-06 (12-21-55).txt[/B]:
Ваш файл занимает 712.3 Кб байт, что превышает предел на форуме в 488.3 Кб для этого типа файла.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

и что теперь делать
07.11.2009, 12:48
PavelA

Удалить старые логи через "Мой кабинет"
Зазиповать лог не пробовали?
07.11.2009, 13:37
Мурат

Заархивировал
07.11.2009, 13:52
PavelA

Восстановление системы отключено? Диск "G" что это?
07.11.2009, 14:08
Мурат

Диск G - флэшка, Восстановление не смог отключить - в свойствах моего компа галочка - [COLOR="Red"]отключить восстановление системы (заблокировано груп)[/COLOR] потухшая

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Кстати эта флэшка сама по себе неправильно работает, даже маленькие текстовые файлы копирует долго ну любые операции проводит долго чем другие
08.11.2009, 16:45
Мурат

Подскажите пож-та как сделать архивную копию системных файлов
08.11.2009, 22:29
Rene-gad

[QUOTE=Мурат;503280]Восстановление не смог отключить [/QUOTE]
Удалите папки System Volume information на всех дисках : [url]http://support.microsoft.com/?scid=kb%3Bru%3B309531&x=15&y=12[/url]. А на флешке системного восстановления нет.
[QUOTE=Мурат;503960]Подскажите пож-та как сделать архивную копию системных файлов[/QUOTE]Никак.Кто Вас натолкнул на такую идею?

Как Вы читали инструкцию по применению МБАМ?
[QUOTE]Мы не рекомендуем постоянное использование программы Malwarebytes Antimalware [COLOR="Red"][B]по причине слабого сигнатурного детекта и связанного с этим большого количества ложных срабатываний[/B][/COLOR].
3. ....По вышеуказанной причине - [COLOR="#ff0000"]ничего не удаляйте, не посоветовавшись с хелперами.[/COLOR][/QUOTE]
А у Вас всё: [COLOR="#ff0000"][B]Quarantined and deleted successfully.[/B][/COLOR]
Это наверняка нужное: [COLOR="#ff0000"]E:\Куна\база\ЭФНО НП\repository\d120.00.6\form_120030100007\*[/COLOR]

Извините за откровенность, но Вас нельзя было посылать богу молиться...©
11.11.2009, 15:02
Мурат

Спасибо за помощь и извиняюсь за свою неграмотность, но как удалить System Volume information на всех дисках? И я не понял Вашу фразу "Извините за откровенность, но Вас нельзя было посылать богу молиться...©" Это получается я все поудалял?
11.11.2009, 15:14
Rene-gad

[QUOTE=Мурат;506364] как удалить System Volume information на всех дисках?[/QUOTE]Там ссылка на инструкцию как снять защиту с этих папок.
[QUOTE=Мурат;506364]
Это получается я все поудалял?[/QUOTE]Да, и в т.ч. возможно нужное Вам.
11.11.2009, 16:02
Мурат

По инструкции надо было снять флажок а у меня в свойствах его уже не было
[COLOR=red]Снимите флажок [B]Скрывать защищенные системные файлы (рекомендуется)[/B]. Для подтверждения изменений нажмите кнопку [B]Да[/B].[/COLOR]
[COLOR=black]И после этого папка System Volume information открывается но все равно не удаляется.[/COLOR]
11.11.2009, 18:41
Rene-gad

Использование программы CACLS в Windows XP Home Edition с файловой системой NTFS - делали?
12.11.2009, 17:21
Мурат

Здраствуйте! Попробовал использовать программу CACLS, но она пишет "Именам пользователей не сопоставлены коды защиты данных". Я добавил своего пользователя, дал полный доступ ему на System Volume information, даже через безопасный не удаляется.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 3 минуты[/I][/B][/color][/size]

Люди добрые ответьте пож-та! Спасибо!
12.11.2009, 17:38
Rene-gad

[QUOTE=Мурат;507047]Я добавил своего пользователя, дал полный доступ ему на System Volume information, даже через безопасный не удаляется.[/QUOTE]удалите через Live CD
13.11.2009, 07:34
Мурат

Не могу скачать Live CD, операция прервана по тайм-ауту
20.11.2009, 11:58
Мурат

[B]Rene-gad[/B],
Это значит: где-то (а где точно скажете Вы нам на основании протокола Касперского ) сидит файл, который Касперский при каждом проходе обнаруживает и записывает в блокнотик: ага, нашёл!!!
Прилагаю отчет KIS 2010
20.11.2009, 12:18
Rene-gad

[QUOTE=Мурат;512691]
Прилагаю отчет KIS 2010[/QUOTE]
Там история Отечества начиная от рождества Христова. Обнулите протоколы и сделайте полную проверку системы.
26.11.2009, 17:14
Мурат

Здраствуйте! Как мне это сделать "Обнулите протоколы"? И может мне сделать все логи по правилам с самого начала.
26.11.2009, 20:37
thyrex

[QUOTE='Мурат;517485']Здраствуйте! Как мне это сделать "Обнулите протоколы"?[/QUOTE]Очистите отчеты антивируса с обнаруженными угрозами
28.11.2009, 11:46
Мурат

Здраствуйте! Очистил отчеты, прилагаю новые.
28.11.2009, 13:13
thyrex

Вроде как ничего плохого. Что с проблемой?
28.11.2009, 16:17
Мурат

Спасибо за помощь! Я обновил сборку KIS до 9.0.0.736 и как мне показлось после этого комп стал чуть пртормаживать. Прочитал на форуме что Firefox 3.5.5 лучше, быстрее IE8, установил, но он тоже притормаживал, сейчас опять поставил IE8. И вообще я в этой теме сначала неправильно сделал логи, ну не по правилам (сканировал в обычном, восстановление не отключал и т.д.) и хотел-бы сделать диагностику по новой (ну если Вы конечно посмотрите мои логи). Ну что-бы точно знать, что все сделал правильно и все нормально. В данный момент по правилам я должен сделать проверку CureIt-ом в безопасном режиме, но яего не могу уже 2-ой день скачать. Качается максимум до 30% и "операция прервана по тайм-ауту". Подскажите пож-та что мне делать. Всем спасибо.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 54 минуты[/I][/B][/color][/size]

Всем спасибо за помощь! Наконецто скачал CureIt, запустил проверку в безопасном. Я был невнимателен к правилам, наверное надо закрыть эту тему. Открою другую тему с новыми логами.
28.11.2009, 19:11
pig

Пожалй, эту и в самом деле закроем.
29.11.2009, 19:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]