Показано с 1 по 11 из 11.

Malware not removing

  1. #1
    Junior Member Репутация
    Регистрация
    26.04.2010
    Сообщений
    6
    Вес репутации
    51

    Malware not removing

    I have listed a few trojans/malware to a laptop. Unfortunately, the System restore cd only scans the bootsector, as the hard drive is encrypted. When I try to run the Virus Removal tool, it hangs when I try to delete the file in question. Is there anyway to get around this? I have uploaded the manual disinfection script here

  2. #2
    Junior Member Репутация
    Регистрация
    26.04.2010
    Сообщений
    6
    Вес репутации
    51
    One of the items I cant remove is Rootkit.win32.agent.bert

  3. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Close/unload all the programs excepted AVZ and Internet Explorer

    Switch off:
    - Antivirus and and, if you have - Firewall.
    - System Restore


    - Execute following script in Manual Healing
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\Hdafub.exe','');
     DelBHO('{A2BA40A0-74F1-52BD-F411-00B15A2C8953}');
     QuarantineFile('C:\WINDOWS\system32\wmcjqxkw.dll','');
     QuarantineFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\geurge.exe','');
     StopService('diskchk');
     DeleteService('diskchk');
     BC_DeleteSvc('diskchk');
     QuarantineFile('C:\WINDOWS\system32\diskchk.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\zkxahym.sys','');
     QuarantineFile('C:\WINDOWS\system32\oix5t.dll','');
     DeleteFile('C:\WINDOWS\system32\oix5t.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\zkxahym.sys');
     DeleteFile('C:\WINDOWS\system32\diskchk.sys');
     DeleteFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\geurge.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ewrgetuj');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler','{A2BA40A0-74F1-52BD-F411-00B15A2C8953}');
     DeleteFile('C:\WINDOWS\system32\wmcjqxkw.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ezLife');
     DeleteFile('C:\WINDOWS\Hdafub.exe');
     DeleteFile('c.\windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    After reboot:
    - Execute following script in Manual Healing
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');    
    end.
    - Upload the C:\quarantine.zip here: http://virusinfo.info/upload_virus_eng.php?tid=77111
    - Repeat a log file.
    - Attach a new log to your new post..

  4. #4
    Junior Member Репутация
    Регистрация
    26.04.2010
    Сообщений
    6
    Вес репутации
    51

    New log file

    The quarantine file has been uploaded. Here is the new log file. Is there anything else I need to do?

    Thank you,
    Dan

  5. #5
    Junior Member Репутация
    Регистрация
    26.04.2010
    Сообщений
    6
    Вес репутации
    51
    I noticed that one of the threats was not used in the above script. newupdate1142c.exe.

    thanks,
    dan

  6. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    You must execute the script once more and then repeat the log once but ONLY IN NORMAL MODE!

  7. #7
    Junior Member Репутация
    Регистрация
    26.04.2010
    Сообщений
    6
    Вес репутации
    51

    Log repeat

    I will be doing the script again. Does Normal Mode mean not in Windows Safe Mode? Also, do we do the quarantine script again? or just the log
    Thanks,
    Dan

  8. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от dmonighetti Посмотреть сообщение
    Does Normal Mode mean not in Windows Safe Mode?
    Yes
    Also, do we do the quarantine script again?
    No.
    just the log
    Yes.

  9. #9
    Junior Member Репутация
    Регистрация
    26.04.2010
    Сообщений
    6
    Вес репутации
    51
    Ran the two scrips again and uploaded the quarantine zip and the log.

    Thanks

  10. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Execute following script in Manual Healing
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\debug.exe','');
     QuarantineFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\taskmgr.exe','');
     QuarantineFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\win32.exe','');
     QuarantineFile('c:\docume~1\locala~1\locals~1\temp\win32.exe','');
     QuarantineFile('c:\docume~1\locala~1\locals~1\temp\taskmgr.exe','');
     QuarantineFile('c:\docume~1\locala~1\locals~1\temp\svchost.exe','');
     QuarantineFile('c:\docume~1\locala~1\locals~1\temp\dirxlx.exe','');
     QuarantineFile('c:\docume~1\locala~1\locals~1\temp\debug.exe','');
     TerminateProcessByName('c:\docume~1\locala~1\locals~1\temp\win32.exe');
     TerminateProcessByName('c:\docume~1\locala~1\locals~1\temp\taskmgr.exe');
     TerminateProcessByName('c:\docume~1\locala~1\locals~1\temp\svchost.exe');
     TerminateProcessByName('c:\docume~1\locala~1\locals~1\temp\dirxlx.exe');
     TerminateProcessByName('c:\docume~1\locala~1\locals~1\temp\debug.exe');
     QuarantineFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\dirxlx.exe','');
     QuarantineFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\localadmin\Application Data\B0FEFFC0FA9A58E52BE90F10867915CA\newupdate1142C.exe','');
     QuarantineFile('zkxahym.sys','');
     DeleteFile('zkxahym.sys');
     DeleteFile('c:\windows\system32\drivers\zkxahym.sys');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-790525478-602609370-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run','hsf87sdhfush87fsufhuie3fddf');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-790525478-602609370-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run','hsf87efjhdsf87f3jfsdi7fhsujfd');
     DeleteFile('C:\Documents and Settings\localadmin\Application Data\B0FEFFC0FA9A58E52BE90F10867915CA\newupdate1142C.exe');
     DeleteFileMask('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\svchost.exe');
     DeleteFile('C:\DOCUME~1\LOCALA~1\LOCALS~1\Temp\','*.*',true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    After reboot:
    - Execute following script in Manual Healing
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');    
    end.
    - Upload the C:\quarantine.zip here: http://virusinfo.info/upload_virus_eng.php?tid=77111
    - Repeat a log file.
    - Attach a new log to your new post..

  11. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\hdafub.exe - Packed.Win32.Katusha.m ( DrWEB: Trojan.DownLoad1.55745, BitDefender: Gen:Variant.Renos.6, AVAST4: Win32:Fraudo [Trj] )
      2. c:\windows\system32\oix5t.dll - Packed.Win32.Katusha.j ( AVAST4: Win32:Ertfor [Trj] )
      3. c:\windows\system32\wmcjqxkw.dll - not-a-virus:AdWare.Win32.BHO.luq


Похожие темы

  1. need help removing something called
    От virginiagfish в разделе Malware Removal Service
    Ответов: 0
    Последнее сообщение: 25.06.2010, 21:25
  2. Removing weaxa.exe
    От Maxilla в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 16.02.2010, 10:49
  3. Malware Bytes Anti Malware (mbam)
    От dfinc в разделе AntiViruses, Anti-Adware / Spyware / Hijackers
    Ответов: 0
    Последнее сообщение: 28.05.2009, 10:09
  4. Help removing infection
    От Christopher_Anthony в разделе Malware Removal Service
    Ответов: 7
    Последнее сообщение: 06.03.2009, 22:05
  5. help removing MAL otorun1
    От casan0va в разделе Malware Removal Service
    Ответов: 3
    Последнее сообщение: 29.08.2008, 20:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01007 seconds with 16 queries