-
Junior Member
- Вес репутации
- 52
Нужна помощь в Удалении вируса Palevo.rmm
День добрый, просьба помочь найти и удалить вирус. Антивирус AVG постоянно фиксирует вирус WORM.Palevo.rmm. При включенной сети файлы лезут в N-ом количестве в директорию:
C:\Documents and Settings\z\Local Settings\Temp\
AVZ тем временем находит их и начинаются уведомления (15-20 раз) вообщем дела плохи..
Так же изменился Диспетчер задач.. нет стандартных кнопок закрыть и Параметры, Файл и т.д.
логи предоставляю.
Заранее огромное спасибо за помощь!
Последний раз редактировалось forever; 18.08.2010 в 12:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\RECYCLER\autoexc.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\ndll.exe','');
QuarantineFile('C:\WINDOWS\cidrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3620125770-3074686793-507736702-8989\winncr.exe','');
TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
QuarantineFile('c:\windows\system32\msvmcls64.exe','');
DeleteFile('c:\windows\system32\msvmcls64.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3620125770-3074686793-507736702-8989\winncr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
DeleteFile('C:\WINDOWS\cidrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\ndll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\RECYCLER\autoexc.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Готово
Спасибо polword за помощь.
Все сделал как написанно. Вирус больше не проявлялся, ещё толко не успел посмотреть..
quarantine - 00331_215903_quarantine_4bb38d679fa6e.zip
Последний раз редактировалось forever; 18.08.2010 в 12:22.
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\rserver30\rserver3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Готово
Единственно не пойму что с файлом quarantine.zip ?? он не открывается...
так же не получается загрузить, пише что файл уже был загружен
Логи привожу
Файл сохранён как100401_020604_Quarantine_4bb3c74c790d7.zip - это в ручную сжал и загрузил
Последний раз редактировалось forever; 18.08.2010 в 12:22.
-
Radmin Server V3 - сами ставили?
в остальном чисто
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Обновите Java .
- Обновите Adobe Reader.
- поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
polword
Radmin Server V3 - сами ставили?
в остальном чисто
- Установите
Internet-Explorer 8.(даже если Вы его не используете)
- Обновите
Java .
- Обновите
Adobe Reader.
- поставте все последние обновления системы Windows -
тут
Radmin - Да
IE - стоит 8, кстати проблемы с вирусом начались после обноление Windows home SP1 на SP3. После СП3 снес ИЕ оставил.
Попробую переустановить по линку ИЕ и остальные обновления.
Спасибо вам большое Сэкономили массу времени!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-3620125770-3074686793-507736702-8989\winncr.exe - Backdoor.Win32.Bifrose.cbrp ( DrWEB: BackDoor.IRC.Sdbot.8136, BitDefender: Backdoor.SDBot.DGEA, AVAST4: Win32:Flot-E [Trj] )
- c:\windows\ndll.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.19844, BitDefender: Gen:Heur.VB.Krypt.12, AVAST4: Win32:Malware-gen )
- c:\windows\system32\msvmcls64.exe - Trojan.Win32.VBKrypt.iw ( DrWEB: Trojan.Packed.19845, BitDefender: Win32.Worm.Kolab.AV, AVAST4: Win32:Malware-gen )
- f:\recycler\autoexc.exe - Backdoor.Win32.Bifrose.cbrp ( DrWEB: BackDoor.IRC.Sdbot.8136, BitDefender: Backdoor.SDBot.DGEA, AVAST4: Win32:Flot-E [Trj] )
-