Показано с 1 по 18 из 18.

Поймал вируса, NOD32 не лечит (заявка № 22916)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76

    Thumbs up Поймал вируса, NOD32 не лечит

    Доброго здоровья!

    Поймал на страничке вирус. Скрытые файлы проводник не показывает.
    НОД32 называет его "C:\Documents and Settings\ServerPGM\Local Settings\Temp\em.dll - Win32/Rootkit.Vanti.NAI троян", лечить не хочет потому, что : "[4] Файл не может быть открыт. Он используется другим приложением или операционной системой."
    Пока не перегружал.
    В Автозапуске интересный процесс, файла не видно: c:\windows\system32\amvo.exe
    Тачка пока занята, перегружать не могу. И опасаюсь изменений критических. Что-то можно сделать пока без перезагрузки?

    Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Если совсем перезагружать нельзя, то сделайте хотя бы логи, начиная с пункта 10 правил http://virusinfo.info/showthread.php?t=1235 и не забудьте отключить восстановление системы, как написано в правилах. Но лучше польностью выполнить правила. Перезагрузка, конечно тогда потребуется. Да и лечить без перезагрузки плохо.
    Последний раз редактировалось kps; 15.05.2008 в 16:49. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от serjga Посмотреть сообщение
    Тачка пока занята, перегружать не могу. И опасаюсь изменений критических.
    Железная логика! А Вы не опасаетесь, что с активным руткитом Ваши данные становятся достоянием бог знает кого?

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    пишет при попытке добавить файл: Вы не имеете прав!
    Что делать?

    Добавлено через 50 минут

    НЕ МОГУ прикрепить файлы!
    Последний раз редактировалось serjga; 15.05.2008 в 17:50. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от serjga Посмотреть сообщение
    НЕ МОГУ прикрепить файлы!
    Закачайте файлы на любой файлообменник и дайте тут ссылки.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    virusinfo_syscheck.zip - http://ifolder.ru/6574715
    virusinfo_syscure.zip - http://ifolder.ru/6574855
    hijackthis.log - http://ifolder.ru/6574840

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Имейте ввиду, что после выполенния скрипта компьютер перезагрузится.
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\System32\G200ed.dll','');
     QuarantineFile('C:\WINDOWS\system32\HWACCESS.SYS','');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22916 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Файла "amvo.exe" не видно в каталоге даже в режиме защиты от сбоев с поддержкой коммандной строки (attrib amvo.exe - "Не найден файл: amvo.exe") - прячется или отсутствует?
    Может ещё раз сделать логи по правилам?
    И ещё: "Мастер поиска и устранения проблем" ничего не порушит в настройках тачки?
    Жду ответа!

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    amvo.exe уже нет на Вашем самокате....
    И ещё: "Мастер поиска и устранения проблем" ничего не порушит в настройках тачки?
    Для чего используется ЭВМ?
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Цитата Сообщение от akoK Посмотреть сообщение
    amvo.exe уже нет на Вашем самокате....


    Для чего используется ЭВМ?
    Маршрутизатор на XP PRO, 1С v8 сервер, Консультант+сервер.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Тогда пока воздержитесь.


    Готовьте логи.
    Microsoft Most Valuable Professional in Consumer Security

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Сервер пока не работает, роутер поставил на другой тачке.
    Логи делать обычные, по правилам? НЕ в режиме хащиты от сбоев?
    Логи присылать так, как и прежде - через файлообменник - вчера не смог прикрепить файлы стандартно.

    Присланный мне скрипт пока не выполнял.
    Делаю логи по правилам
    И, если amvo.exe нет на моём самокате - зачем в скрипте тогда его удалять и помещать в карантин?

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Попробуйте создать логи в обычном режиме и попробуйте прикрепить файлы стандартным способом, а если не получиться крепите на обменник.

    Добавлено через 3 минуты

    amvo.exe тяжело найти голыми руками....после скрипта он пропадает.

    И, если amvo.exe нет на моём самокате - зачем в скрипте тогда его удалять и помещать в карантин?
    Если не выполняли, то значит есть
    Последний раз редактировалось akoK; 16.05.2008 в 10:36. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Получилось!
    ПРинимайте!
    Последний раз редактировалось serjga; 22.06.2009 в 15:52.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Пофиксить
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    и не перезагружаясь выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     BC_DeleteFile('C:\WINDOWS\system32\amvo.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание, после скрипта будет перезагрузка!
    После перезагрузки - новые логи.
    Последний раз редактировалось Alex_Goodwin; 16.05.2008 в 12:09.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Вам всё-таки карантин прислать?

    Опять файлы не прикрепляются:

    hijackthis.log - http://ifolder.ru/6588046
    virusinfo_syscheck.zip - http://ifolder.ru/6588063
    virusinfo_syscure.zip - http://ifolder.ru/6588075

    Невидимые файлы уже открываются.
    Посмотрите: всё чисто?
    Спасибо!
    Последний раз редактировалось serjga; 16.05.2008 в 14:50.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    ИМХО чисто. проблемы какие-либо остались?

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Скажите, а AVP 7.0.1.325 справился бы с такой задачей, чтобы не заразить этим руткитом? Почему НОД его обнаружил, но всё же пропустил на тачку?

    сча переключу на него, в понедельник узнаюо проблемах (НАДЕЮСЬ - их отсутствии)

    СПАСИБО! огромное!

  • Уважаемый(ая) serjga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 18.02.2012, 14:33
    2. Ответов: 17
      Последнее сообщение: 25.08.2010, 23:29
    3. NOD32 и NOD32 Smart Security сертифицированы для работы с Windows 7
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 14.02.2010, 15:54
    4. Ответов: 6
      Последнее сообщение: 09.02.2010, 00:23
    5. NOD32 что-то поймал
      От 17_sqrt_2 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.02.2009, 11:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01584 seconds with 19 queries