После загрузки системы Symantec AntiVirus дает сообщение что файл заражен Trojan.Pandex. Излечить не может, удаляеет.
Утилита CureIt ничего не нашла.
Вот логи.
После загрузки системы Symantec AntiVirus дает сообщение что файл заражен Trojan.Pandex. Излечить не может, удаляеет.
Утилита CureIt ничего не нашла.
Вот логи.
Последний раз редактировалось StepIn; 16.01.2009 в 14:13.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\JKBHQJIM.exe',''); BC_DeleteSvc('Winah06'); BC_DeleteSvc('Winvc17'); QuarantineFile('C:\DOCUME~1\LBS~1.MUL\LOCALS~1\Temp\catchme.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\YKNJRTWW.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\msauc.exe',''); DeleteFile('c:\windows\msauc.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); SysCleanAddFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\JKBHQJIM.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.0 или удалите старый.
Скрипты выполнил. Карантин отослал. Вот новые логи.
Пока не удалось деинсталировать Adobe Acrobat Reader.
Последний раз редактировалось StepIn; 16.01.2009 в 14:13.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winub17'); DeleteFile('C:\WINDOWS\System32\Drivers\Winub17.sys'); DeleteFile('msansspc.dll'); DeleteFile('C:\WINDOWS\system32\drivers\YKNJRTWW.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксил. Скрипты выполнил. Вот новые логи.
Удалось деинсталировать Adobe Acrobat Reader.
Почему-то опять появилась пофиксенная ранее O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file). Я опять ее пофиксил.
Последний раз редактировалось StepIn; 16.01.2009 в 14:13.
В логах чисто, жалобы есть?
При старте компьютера Symantec AntiVirus дал следующие сообщения для нескольких файлов:
Угроза: Trojan Horse; Packed.Generic.182.
Вот новые логи.
Последний раз редактировалось StepIn; 16.01.2009 в 14:13.
Symantec пытается себя реабилитировать
Покажите скриншоты его сообщений или процитируйте их точно (имена файлов, пути к ним).
На самом деле у вас были:
C:\WINDOWS\system32\WinCtrl32.dll = Trojan-Downloader.Win32.Mutant.bqb
c:\windows\msauc.exe = Trojan.Win32.Pakes.lbp
C:\WINDOWS\system32\drivers\YKNJRTWW.sys = Rootkit.Win32.Pakes.k
Symantec не один из них не детектирует до сих пор:
http://www.virustotal.com/ru/analisi...74da8a9e3d59d6
http://www.virustotal.com/ru/analisi...6a03bb60c1c095
http://www.virustotal.com/ru/analisi...4583a7ca278b01
Сейчас проверяю компьютер CureIt в Safe Mode.
Скриншоты Symantec AntiVirus не сохранил. Вот все что есть по поводу сообщения Symantec:
Угроза: Trojan Horse
Угроза: Packed.Generic.182
Действие: Исправить не удалось: Изолировать не удалось: Доступ закрыт
А это список файлов, которые были в сообщениях Symantec AntiVirus:
C:\WINDOWS\system32\wpv4522.cpx
C:\WINDOWS\system32\wpv3120.cpx
C:\WINDOWS\system32\wpv4522.cpx
C:\WINDOWS\system32\wpv3120.cpx
Файлов таких на компьютере не нашел. Но пока не искал эти файлы с помощью AVZ.
Я понял что надо срочно менять Symantec AntiVirus! А на что?
Симантек находил драйвер AVZ
Кстати,
C:\WINDOWS\system32\WinCtrl32.dll = Trojan-Downloader.Win32.Mutant.bqb
, этот троян появляется у меня на компе уже не в первый раз.
WinCtrl32.dll это наверное самое распространенное имя для троянского файла. Обычно заражает компьютер со взломанных сайтов через незакрытые уязвимости в браузере и программах отображающих их содержимое (Flash, Acrobat Reader).
Из бесплатных антивирусов советую AntiVir http://www.free-av.com/
Большое спасибо за объяснения и совет!
Добавлено через 6 часов 49 минут
Стал проверять систему в безопасном режиме. CureIt не нашел ничего. А вот что нашел AVPTool:
обнаружено: потенциально опасное ПО not-a-обнаружено: троянская программа Trojan.Win32.Pakes.lbp Файл:
C:\WINDOWS\system32\wpv199.cpx
обнаружено: троянская программа Trojan-Downloader.Win32.Obfuscated.dur Файл:
C:\WINDOWS\system32\wpv3120.cpx
обнаружено: троянская программа Trojan-Downloader.Win32.Obfuscated.dul Файл:
C:\WINDOWS\system32\wpv4522.cpx
обнаружено: троянская программа Trojan.Win32.Pakes.lbp Файл:
C:\WINDOWS\system32\wpv986.cpx
Эти файлы есть на диске, а свойства показывают, что это Майкрософтовский ДВД апгрейт. Дата этих файлов сегодняшня. Это действительно трояны?
Последний раз редактировалось StepIn; 17.10.2008 в 23:25. Причина: Добавлено
Запакуйте их в архив с паролем "virus" и пришлите нам как карантин, курит врядле ошибается
К сожалению я уже удалил эти файлы. Правда AVPTool сказал, что поместил их в карантин. Но папочка карантина пуста. Есть файлы с расширением klq в папочке бэкапа, примерно совпадает кол-во файлов и время создания. Эти файлы можно выслать?
Попробуйте...
Карантин выслал.
То, что появляются новые трояны, значит, что что то еще осталось
StepIn, установите AVZPM через меню в AVZ.
Перезагрузите компьютер.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
вот логи по п.2.
А как карантин от AVPTool, удалось что-то увидеть?
Последний раз редактировалось StepIn; 16.01.2009 в 14:13.
Уважаемый(ая) StepIn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.