Показано с 1 по 13 из 13.

Проверка ПК после прогона Virus Removal TOOL (заявка № 67032)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    10
    Вес репутации
    52

    Thumbs up Проверка ПК после прогона Virus Removal TOOL

    Здравствуйте!
    На ПК, подключенном к интернет, был установлен NOD32. Базы данных не обновлялись более 6 мес. Недавно была выполнена проверка ПК Virus Removal TOOL. Есть подозрение, что не все вычистилось.
    Логи во вложении.
    Заранее спасибо.
    Последний раз редактировалось Buratino_25; 13.01.2010 в 13:20.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить:
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111\ -- надо почистить.
    Плюс висят autorun, явно с флешки.

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De156\system32\ICQ2003Decrypt.dll','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De153\popcaploader.dll');
     DeleteFile('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De156\system32\ICQ2003Decrypt.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по Правилам.
    Сделать заново логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    10
    Вес репутации
    52
    Пофиксил: "O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe"

    Попытался удалить все файлы из папки C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111\/
    при удалении по многим файлам, например 1394bus.sys, 4mmdat.sys, вылетает сообщение - Access denied и соответственно не позволяет удалить.

    Скрипт прогнал. Новые логи и карантин во вложениии.
    Последний раз редактировалось Buratino_25; 13.01.2010 в 13:45.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    d1vmq.exe - вот такое со всех дисков надо удалить.

    virus.zip отсюда удалить, грузить по красной ссылке.

    Добавлено через 8 минут

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask('C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111','*.*',true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить станд. скрипт №2 , прислать лог.
    Последний раз редактировалось PavelA; 13.01.2010 в 13:48. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    10
    Вес репутации
    52
    Карантин закачал по красной ссылке.

    Поиск d1vmq.exe по локальным дискам результата не дал. Искал стандартным поиском Windows и Farом.
    Вложения Вложения
    Последний раз редактировалось Buratino_25; 13.01.2010 в 14:01.

  7. #6
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    10
    Вес репутации
    52
    Дошел ли до Вас карантин?
    Может быть отправить повторно?

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин дошел. Ответ завтра после 9МСК.

    Добавлено через 1 минуту

    C:\RECYCLER\S-1-5-21-1726924525-2148517982-2228487978-1263\De111 - файлы удалились из этой директории?
    Последний раз редактировалось PavelA; 13.01.2010 в 22:16. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    10
    Вес репутации
    52
    День добрый!
    Удалились не все. На данный момент в папке присутствуют файлы:

    ntldr
    reg00001
    .............
    reg00201

    Всего 129 файлов без расширения.

    Попробовал удалить вручную - удалились
    Последний раз редактировалось Buratino_25; 14.01.2010 в 10:06.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    not-a-virus : PSWTool.Win32.ICQ.ap - в карантине плюс
    C:\autorun.inf - новый (Trojan.Win32.AutoRun.wm)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    10
    Вес репутации
    52
    Что посоветуете сделать?

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Думается, надо на аську пароль сменить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    10
    Вес репутации
    52
    Пароль на аську сменил.

    Спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\autorun.inf - Trojan.Win32.AutoRun.wm
      2. c:\recycler\s-1-5-21-1726924525-2148517982-2228487978-1263\de156\system32\icq2003decrypt.dll - not-a-virus:PSWTool.Win32.ICQ.ap ( DrWEB: Trojan.PWS.M2.192, BitDefender: Win32.HLLW.Bizex.A, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) Buratino_25, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 10.05.2011, 06:00
    2. Virus removal tool does not eliminate identified virus (заявка №41545)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 13.12.2010, 12:00
    3. Virus Removal Tool Failed to remove Virus (заявка №38037)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 18.11.2010, 18:00
    4. Manual removal using Virus Removal Tool
      От dcohn в разделе Malware Removal Service
      Ответов: 2
      Последнее сообщение: 26.05.2010, 12:15
    5. Ответов: 3
      Последнее сообщение: 28.01.2010, 18:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00950 seconds with 20 queries