-
Junior Member
- Вес репутации
- 57
Не получается удалить трояна
Началось с того, что Explorer перестал загружаться, Касперский по каким то непонятным мне причинам не запускается. Avz4 не запускается. Да кстати у меня заблокировались Редактор реестра и диспетчер задач. Прогнал все AVP Tool сегоднешний, нашел одно тело вируса (название не записал) и зараженные объекты. После перезагрузки такая же фигня. Может есть другой Avz, тогда выложу логи, сейчас увы.
Еще в добавок во всех папках общего доступа создается файл pxqifh.exe Касперский его определял как троянская программа Packed.Win32.Krap.I (модификация). После его удаления, он появлялся снова.
Последний раз редактировалось Fluncky; 19.06.2009 в 10:11.
Причина: уточнение
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пробуйте делать логи полиморфным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Сначала лечим файловый вирус: http://virusinfo.info/showthread.php?t=15927
Потом:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('abp470n5');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\cflam.pif','');
QuarantineFile('C:\WINDOWS\system32\drivers\mpojln.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mpojln.sys');
DeleteFile('E:\cflam.pif');
DeleteFile('E:\autorun.inf');
DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Извиняюсь, что так долго, компьютер рабочий.
Карантин отправил. Если было две отправки, первую отправку удалите, забыл выставить пароль, извиняюсь.
Лечение провел DrWeb -CureIT!. В безопасном режиме не получилось, призагрузки компьютера выпадает экран смерти с кодом 0х0000007B.
Выкладываю повторно логи.
Последний раз редактировалось Fluncky; 22.06.2009 в 07:09.
Причина: Уточнение
-
Файловый вирус так и не вылечен.
Эффективным средством будет это: http://www.freedrweb.com/livecd/
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Выполнил проверку, выкладываю логи
-
Выполните скрипт в AVZ
Код:
begin
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\mpojln.sys');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделать новый лог virusinfo_syscheck (п. 2 диагностики)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
выполнил, выкладываю логи. Кстати, диспетчер задач и редактирование реестра, до сих пор не доступно. Говорит, что заблокированно администратором, а я этого не делал
-
выполнить:
Код:
begin
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Доложить о проблемах.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
следующая проблема, попытался переустановить Каспера, результат нулевой. Диспетчер развертки после перезагрузки компьютера говорит что он не доступен. А на самом компьютере Каспер в вручную не запускается
-
Сообщение от
Fluncky
Диспетчер развертки после перезагрузки компьютера говорит что он не доступен.
Значит файловый вирус не убит.
-
-
Junior Member
- Вес репутации
- 57
Так что делать? Я уже перепробывал все возможности. Как его убить то? В диспетчере вроде все чисто, файлов лишних не наблюдается
-
Лог gmer сделайте (в Чаво есть инструкция)
-
-
Выполните и пришлите эту парочку.
Код:
begin
QuarantineFile('kbd101a.dll','');
QuarantineFile('kbd101.dll','');
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
результат прошлого скрипта:
Ошибка карантина файла, попытка прямого чтения (kbd101a.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (kbd101.dll)
Карантин с использованием прямого чтения - ошибка
прикладываю логи gmer
-
Сообщение от
Fluncky
Ошибка карантина файла, попытка прямого чтения (kbd101a.dll)
Занчит файл проходит по базе безопасных.
В логе gmer тоже ничего вражебного, но там полно загруженных драйверов от Касперского.
Поэтому он и не становится.
Kavremover применяли?
-
-
Junior Member
- Вес репутации
- 57
Все заработало! Надо взять себе на заметку эту утилиту. Всем большое спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- e:\cflam.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- e:\pnmdf.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
-