-
Поймал вируса, NOD32 не лечит
Доброго здоровья!
Поймал на страничке вирус. Скрытые файлы проводник не показывает.
НОД32 называет его "C:\Documents and Settings\ServerPGM\Local Settings\Temp\em.dll - Win32/Rootkit.Vanti.NAI троян", лечить не хочет потому, что : "[4] Файл не может быть открыт. Он используется другим приложением или операционной системой."
Пока не перегружал.
В Автозапуске интересный процесс, файла не видно: c:\windows\system32\amvo.exe
Тачка пока занята, перегружать не могу. И опасаюсь изменений критических. Что-то можно сделать пока без перезагрузки?
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если совсем перезагружать нельзя, то сделайте хотя бы логи, начиная с пункта 10 правил http://virusinfo.info/showthread.php?t=1235 и не забудьте отключить восстановление системы, как написано в правилах. Но лучше польностью выполнить правила. Перезагрузка, конечно тогда потребуется. Да и лечить без перезагрузки плохо.
Последний раз редактировалось kps; 15.05.2008 в 16:49.
Причина: Добавлено
-
-
Сообщение от
serjga
Тачка пока занята, перегружать не могу. И опасаюсь изменений критических.
Железная логика! А Вы не опасаетесь, что с активным руткитом Ваши данные становятся достоянием бог знает кого?
-
-
пишет при попытке добавить файл: Вы не имеете прав!
Что делать?
Добавлено через 50 минут
НЕ МОГУ прикрепить файлы!
Последний раз редактировалось serjga; 15.05.2008 в 17:50.
Причина: Добавлено
-
Сообщение от
serjga
НЕ МОГУ прикрепить файлы!
Закачайте файлы на любой файлообменник и дайте тут ссылки.
-
-
-
Имейте ввиду, что после выполенния скрипта компьютер перезагрузится.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\G200ed.dll','');
QuarantineFile('C:\WINDOWS\system32\HWACCESS.SYS','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22916 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Сделайте новые логи.
-
-
Файла "amvo.exe" не видно в каталоге даже в режиме защиты от сбоев с поддержкой коммандной строки (attrib amvo.exe - "Не найден файл: amvo.exe") - прячется или отсутствует?
Может ещё раз сделать логи по правилам?
И ещё: "Мастер поиска и устранения проблем" ничего не порушит в настройках тачки?
Жду ответа!
-
amvo.exe уже нет на Вашем самокате....
И ещё: "Мастер поиска и устранения проблем" ничего не порушит в настройках тачки?
Для чего используется ЭВМ?
Microsoft Most Valuable Professional in Consumer Security
-
Сообщение от
akoK
amvo.exe уже нет на Вашем самокате....
Для чего используется ЭВМ?
Маршрутизатор на XP PRO, 1С v8 сервер, Консультант+сервер.
-
Тогда пока воздержитесь.
Готовьте логи.
Microsoft Most Valuable Professional in Consumer Security
-
Сервер пока не работает, роутер поставил на другой тачке.
Логи делать обычные, по правилам? НЕ в режиме хащиты от сбоев?
Логи присылать так, как и прежде - через файлообменник - вчера не смог прикрепить файлы стандартно.
Присланный мне скрипт пока не выполнял.
Делаю логи по правилам
И, если amvo.exe нет на моём самокате - зачем в скрипте тогда его удалять и помещать в карантин?
-
Попробуйте создать логи в обычном режиме и попробуйте прикрепить файлы стандартным способом, а если не получиться крепите на обменник.
Добавлено через 3 минуты
amvo.exe тяжело найти голыми руками....после скрипта он пропадает.
И, если amvo.exe нет на моём самокате - зачем в скрипте тогда его удалять и помещать в карантин?
Если не выполняли, то значит есть
Последний раз редактировалось akoK; 16.05.2008 в 10:36.
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
-
Получилось!
ПРинимайте!
Последний раз редактировалось serjga; 22.06.2009 в 15:52.
-
Пофиксить
Код:
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
и не перезагружаясь выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_DeleteFile('C:\WINDOWS\system32\amvo.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Внимание, после скрипта будет перезагрузка!
После перезагрузки - новые логи.
Последний раз редактировалось Alex_Goodwin; 16.05.2008 в 12:09.
-
-
Вам всё-таки карантин прислать?
Опять файлы не прикрепляются:
hijackthis.log - http://ifolder.ru/6588046
virusinfo_syscheck.zip - http://ifolder.ru/6588063
virusinfo_syscure.zip - http://ifolder.ru/6588075
Невидимые файлы уже открываются.
Посмотрите: всё чисто?
Спасибо!
Последний раз редактировалось serjga; 16.05.2008 в 14:50.
-
ИМХО чисто. проблемы какие-либо остались?
-
-
Скажите, а AVP 7.0.1.325 справился бы с такой задачей, чтобы не заразить этим руткитом? Почему НОД его обнаружил, но всё же пропустил на тачку?
сча переключу на него, в понедельник узнаюо проблемах (НАДЕЮСЬ - их отсутствии)
СПАСИБО! огромное!