Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Вирус обнаружен, но не удаляется (заявка № 30209)

  1. #1
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38

    Вирус обнаружен, но не удаляется

    КАV обнаруживает вирус trojan.win32.agent.aceo (файл wstest.dll в системной папке) и сообщает, что вирус будет удален после перезагрузки. Однако вирус появляется вновь. Посмотрите, пожалуйста.
    Последний раз редактировалось Ярик; 24.11.2008 в 13:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\wstest.dll','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\111\Filemon.exe','');
     DeleteFile('C:\WINDOWS\system32\wstest.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи´по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    Карантин закачал. Повторные логи.
    Последний раз редактировалось Ярик; 24.11.2008 в 13:13.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
     DeleteFile('C:\WINDOWS\system32\wstest.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи´по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    После выполнения скрипта не загружается рабочий стол.
    Высылаю новые логи и карантин. Продолжим, наверное, уже утром )
    Последний раз редактировалось Ярик; 24.11.2008 в 13:13.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    - Выполните скрипт
    Код:
    begin
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
    executerepair(5);
    executerepair(6);
    executerepair(8);
    RebootWindows(true);
    end.
    После перезагрузки проинформируйте о состоянии ПК.

  8. #7
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    Рабочий стол восстановился. Но и файл wstest.dll по-прежнему остается после перезагрузки.
    Может попробовать IceSword?
    Последний раз редактировалось Ярик; 16.09.2008 в 08:12. Причина: дополнил

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Ярик Посмотреть сообщение
    Но и файл wstest.dll по-прежнему остается после перезагрузки.
    Выполните проверку CureIt в безопасном. Удалить IceSword ом не проблема, проблема в том, что файл откуда-то восстанавливается.

  10. #9
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    Вы правы, файл восстановился и после удаления его CureIt'ом в безопасном режиме.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. Активируйте AVZPM
    4. Перегрузить систему
    5. Сделать 3 лога по правилам

  12. #11
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    Логи с установленным AVZPM
    Последний раз редактировалось Ярик; 24.11.2008 в 13:13.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Ничего плохого не вижу...

  14. #13
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    Там народ уже созрел, чтоб переустановить Винду. Но я их пока сдерживаю из научно-практического интереса )

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Сделайте еще раз удаление CureIt ом, отсоедините ПК от сети и понаблюдайте. Может зловред через какую-то непатченную дыру из сети заходит?

  16. #15
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    так сеть же отключена прямо с утра. и не подключалась ни разу

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Ярик Посмотреть сообщение
    так сеть же отключена прямо с утра. и не подключалась ни разу
    А файл этот сейчас через нормальный поиск находится?

  18. #17
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    В safe mode находится. А при обычном запуске его на месте нет, он в резервном хранилище КАV

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Ярик Посмотреть сообщение
    В safe mode находится. А при обычном запуске его на месте нет, он в резервном хранилище КАV
    А в safe mode - где?

  20. #19
    Junior Member Репутация Репутация Репутация
    Регистрация
    25.04.2008
    Сообщений
    78
    Вес репутации
    38
    c:\windows\system32\wstest.dll

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Ярик Посмотреть сообщение
    c:\windows\system32\wstest.dll
    Скачайте Malwarebytes Antimalware, запустите, не удаляйте ничего, лог - в студию.

  • Уважаемый(ая) Ярик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. обнаружен вирус и не удаляется (заявка №86896)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 24.06.2011, 14:00
    2. Ответов: 2
      Последнее сообщение: 22.06.2011, 20:52
    3. обнаружен вирус
      От aluska в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.10.2009, 18:24
    4. обнаружен worm и не удаляется
      От andrson в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.02.2008, 13:43
    5. Обнаружен вирус
      От Natasha1998 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 09.10.2007, 15:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00847 seconds with 16 queries