-
Full Member
- Вес репутации
- 56
вирус PALEVO или его остатки
Здравствуйте уважаемые хэлперы!
В логах avz обнаружилось следующее:
Обратите внимание - нестандартный диспетчер задач "C:\Documents and Settings\Arbeiten!\ydwzro.exe"
Проводили проверку с помощью CureIT и VRT от Касперского. Ничего найдено не было. Заглянули в автозагрузку с помощью SysinternalsSuite (autoruns) и действительно в Logon была пара записей на ydwzro.exe, при этом сообщалось, что файл не найден.
На всякий случай убрали галки напротив соответствующих названий файлов из автозагрузки.
После перезагрузки компьютера появились дубликаты записей с установленными галками на автозагрузку.
Не понятно, был ли вирус удален и это просто его следы, или он до сих пор в системе. Подскажите пожалуйста.
Логи приложены.
Последний раз редактировалось Ulja; 06.02.2012 в 18:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Ulja, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ytthfplv.sys','');
DeleteFile('C:\Documents and Settings\Arbeiten!\ydwzro.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Full Member
- Вес репутации
- 56
Логи и карантин приложены
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Full Member
- Вес репутации
- 56
Прошу прощения за задержку.
Лог приложен.
-
Удалите в МВАМ только указанные строки
Код:
Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.KillAV) -> Действие не было предпринято.
Обнаруженные файлы: 25
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> Действие не было предпринято.
C:\WINDOWS\system32\NewGina.dll (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> Действие не было предпринято.
C:\WINDOWS\system32\com.run (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\internet.fne (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\og.edt (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Full Member
- Вес репутации
- 56
Еще раз прошу прощения за задержку.
Дело в том, что я не каждый день могу быть возле проверяемого компьютера.
По той же причина появилась следующая проблема. Была проведена полная проверка с помощью MBAM, но в тот момент, когда нужно было произвести выделение удаляемых фалов, а затем и само удаление, машина ушла в непредвиденную перезагрузку. Возможности провести еще одну полную проверку нет, поэтому провели быстрое сканирование. После него удалены почти все строки, кроме:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.KillAV)
C:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> Действие не было предпринято.
C:\WINDOWS\system32\internet.fne (Trojan.Agent) -> Действие не было предпринято.
По той причине, что при быстром сканировании данные строки просто не были обнаружены.
Лог приложен.
Дальше необходимо предпринимать какие-либо действия?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-