Показано с 1 по 18 из 18.

Последствия Trojan.Win32.KillAV.ayh (заявка № 70395)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37

    Cool Последствия Trojan.Win32.KillAV.ayh

    Notebook Compaq 615
    WinXPsp2 ZverCD
    В безопасный режим или c INFRA LiveCD не грузится из-за отсутствия драйвера AMD SATA AHCI (BSOD 0x0000007B)

    Был заражен Trojan.Win32.KillAV.ayh
    Лечил вручную, потом AVZ-скриптом "лечение".

    ПРОБЛЕМА: После лечения глючит проводник, "Свойства папки" вкладка "Настройка" приводит к зависанию системы, даже диспетчер задач не запускается.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполнить скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\fnkjnh.sys','');
     DeleteService('asc3360pr');
     QuarantineFile('C:\WINDOWS\system32\AESTFltr.exe','');
     QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
     QuarantineFile('G:\autorun.inf','');
     DeleteFile('G:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
     DeleteFile('C:\WINDOWS\Tasks\At1.job');
     DeleteFile('C:\WINDOWS\system32\drivers\fnkjnh.sys');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(5);
    Executerepair(6);
    Executerepair(8);
    Executerepair(11);
    Executerepair(16);
    ExecuteWizard('SCU', 2, 2, true);
    ExecuteWizard('PRT', 2, 2, true);
    ExecuteWizard('TSW', 2, 2, true);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    При первом сканировании забыл вытащить флешку,
    так что G:\autorun.inf - это от Panda USB Vaccine, и в повторном сканировании и карантине он отсутствует.

    Скрипт выполнил, логи прилагаю.
    Вложения Вложения

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    Зависания системы из-за проводника исчезли, спасибо!

    Но появилась странная проблема. Скорее всего, не связанная с вирусами.
    Отключив DrWeb перед лечением системы, не смог его включить и решил переустановить. Удалился нормально. А при установке инсталлятор сразу же после распаковки файлов выдает красивое окошко с эмблемой и длинным текстом, которое исчезает за миллисекунду - ничего не успеваю прочесть...
    Так и не смог поставить антивирус :-(

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Сделайте новый лог virusinfo_syscheck.zip и лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    В обычном режиме сканировал AVP, обнаружил и лечил Virus.Win32.Sality.aa
    После этого сделал логи. Лог MBA пустой, поэтому не прилагаю.

    Зараза жива.
    Кто-то закрывает окно AVZ сразу после запуска, кто-то убивает инсталлятор DrWeb. Лог делал переименованным AVZ'ом.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от Андрей Ильин Посмотреть сообщение
    В обычном режиме сканировал AVP, обнаружил и лечил Virus.Win32.Sality
    Эту заразу так просто не вывести, просканируйте ПК Куреитом (др.Веб) и AVPTool.
    Затем сделайте логи. Используйте LiveCD, закачивать и записывать образ диска надо на чистом ПК

  10. #9
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    Цитата Сообщение от shapel Посмотреть сообщение
    Используйте LiveCD, закачивать и записывать образ диска надо на чистом ПК
    Увы, я не умею загрузиться с LiveCD на таком железе (AMD SATA AHCI), неизбежно получаю BSOD 0x0000007B. Даже в DOS'е драйвер ram-диска виснет...

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Скачайте утилиту и запустите http://support.kaspersky.ru/viruses/...?qid=208636131 Затем просканируйте ПК свежим Куреитом http://www.freedrweb.com/cureit/

  12. #11
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    Извините, начал действовать, не дожидаясь Вашего ответа.
    В биосе переключил режим SATA Device Mode = ATA, загрузился с LiveCD и пролечил AVP. Кроме того же Virus.Win32.Sality.aa, ничего иного не обнаружил.

    Вернул режим в биосе.
    После этого сделал лог AVZ, прилагаю.
    И теперь удалось установить Доктор Вэба.

    Сейчас еще запущу сканирование МВАМ.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Еще раз просканируйте ПК LiveCD. Салити еще присутствует.

  14. #13
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    выполнено сканирование,вирусы удалены

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\d\s\sg\17\STacSV.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\del_temp.cmd','');
     QuarantineFile('C:\WINDOWS\system32\drivers\qlpmh.sys','');
     DeleteService('asc3360pr');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\burnlib.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\enc_vorbis.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\gen_crasher.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\gen_ff.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\gen_jumpex.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\gen_ml.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\gen_orgler.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\gen_tray.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_cdda.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_dshow.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_flac.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_linein.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_midi.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_mod.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_mp3.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_vorbis.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_wav.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\in_wm.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_autotag.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_dash.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_local.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_nowplaying.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_online.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_orb.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_playlists.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\ml_wire.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\out_ds.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\pmp_ipod.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\pmp_p4s.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\vis_avs.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\vis_milk2.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\vis_nsfs.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\winamp.lng');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ3855.tmp\winampa.lng');
     DeleteFile('C:\WINDOWS\system32\drivers\qlpmh.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    Выполнил.
    AVP и CureIt ничего не нашли.
    Файл в автозагрузке del_temp.cmd - мой, он очищает временные папки.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\muis\svchost.exe','');
     DeleteFile('C:\WINDOWS\muis\svchost.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Внимание !!! База поcледний раз обновлялась 04.02.2010 необходимо обновить базы при помощи автоматического обновления
    Обновите базы, повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  18. #17
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    37
    shapel, благодарю Вас за работу.
    Это был компьютер соседей в родной деревне.
    Теперь я оттуда уехал, теперь нет возможности продолжать лечение.
    Спасибо.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Андрей Ильин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Killav как убить
      От pomy в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:33
    2. Последствия вируса Trojan.Win32.KillAV.ne
      От alexxx777 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 03:31
    3. Trojan.Win32.KillAV.ne
      От Metky в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 03:19
    4. Не могу избавиться от Trojan.Win32.KillAV.nj
      От malina в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.01.2008, 08:36
    5. Trojan.Win32.KillAV.ee (файл icota32.dll)
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 11.01.2005, 12:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01145 seconds with 17 queries