Показано с 1 по 7 из 7.

Помогите с удалением Win32.Small.axz (заявка № 91429)

  1. #1
    Junior Member Репутация
    Регистрация
    13.04.2010
    Сообщений
    11
    Вес репутации
    29

    Помогите с удалением Win32.Small.axz

    Система - WindowsXP SP3. На уже зараженной системе установлены последние патчи и выполнена sfc /scannow.
    Утилита от Касперского проверку не заканчивает (последняя попытка - 14 часов - 65%).
    При подключении флешки на ней создается файл boot.exe, который детектируется как Win32.Small.axz
    Выкладываю логи согласно правил

    P.S. Может информация поможет... При загрузке системы servises.exe вызывает ошибку

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\linkinfo.dll','');
     QuarantineFile('C:\windows\system32\regedit.exe','');
     QuarantineFile('C:\Windows\system32\Drivers\sujochxc.sys','');
     QuarantineFile('C:\Windows\system32\DRIVERS\nvmini.sys','');
     DeleteFile('C:\WINDOWS\linkinfo.dll');
     DeleteFile('C:\windows\system32\regedit.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('C:\Windows\system32\DRIVERS\nvmini.sys');
     DeleteFile('C:\Windows\system32\Drivers\sujochxc.sys');
     BC_DeleteSvc('sujochxc');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    13.04.2010
    Сообщений
    11
    Вес репутации
    29
    Прошу прощения за длительное отсутствие. Скрипты выполнил, карантин загружен, повторные логи высылаю

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Карантин точно загрузили? Не видно его. Попробуйте еще раз загрузить.

    Так же у вас еще кое-что появилось... Лечить будем следующим образом (делайте все в указанной последовательности):

    Установите все последние обновления Windows и IE. Без этого удаление может быть бесконечным.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\USER\msgvn.exe','');
     DeleteFile('C:\Documents and Settings\USER\msgvn.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine_2.zip');
     end.
    Загрузите quarantine_2.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Вставьте все флешки, которые использовались на данном компьютере.

    Сделайте лог MBAM:
    http://virusinfo.info/showthread.php?t=53070
    и приложите.

    Клиентами P2P пользуетесь? (пиринг, StrongDC, EMule и т.п.)
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    13.04.2010
    Сообщений
    11
    Вес репутации
    29
    Обновления установил( даже медиаплеера ). Карантин загружен, при попытке повторно загрузить первый карантин появляется сообщение, что файл уже загружался. Логи прикрепил. P2P не используется

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Удалите в MBAM:
    Код:
    HKEY_CURRENT_USER\SOFTWARE\C8H1KKCTZV (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\Rbuvaa.exe (Trojan.Downloader) -> No action taken.
    C:\WINDOWS\$NtServicePackUninstall$\ndis.sys.000 (Rootkit.Kobcka) -> No action taken.
    C:\WINDOWS\system32\drivers\sujochxc.sys (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\common.data (Malware.Trace) -> No action taken.
    C:\WINDOWS\Temp\winsp1upd.dll (Rogue.Agent) -> No action taken.
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    Сделайте для контроля новый лог virusinfo_syscheck.zip и приложите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\user\\msgvn.exe - P2P-Worm.Win32.Palevo.atba ( DrWEB: Trojan.Packed.21552, BitDefender: Win32.Worm.Rimecud.Y, NOD32: Win32/Peerfrag.IB worm, AVAST4: Win32:MalOb-CS [Cryp] )


  • Уважаемый(ая) vanvan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 13.03.2009, 15:06
    2. Помогите с Rootkit.win32.small.bk
      От Sennary в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 26.02.2009, 16:40
    3. Помогите с удалением Trojan.Win32.BHO.abo
      От Dark Rainfall в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:10
    4. NOD нашел VBS/Small.K Small.NAB и Win32/PSW.QQRob
      От ballast в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:28
    5. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
      От Катерина в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2008, 15:50

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00478 seconds with 16 queries