-
Junior Member
- Вес репутации
- 62
Удалён ли вирус?
Здравствуйте!
Обращаюсь к Вам второй раз,так как ранее получил от вас столь необходимую мне помощь,за что искренне Вам признателен.
У меня следующая проблема:Каперский стёр вирус троян Banker,потребовал перезпгрузки компьютера,что и было выполнено,однако после этого при запуске начало выскакивать чёрное окно C/.../Uninstall,после его отключения Касперский запускает автоматически сканирование и находит удалённый ранее троян,требует немедленно его стереть и,если выполняешь это требование,перезапускает винду.После перестартовки всё повторяется снова:чёрное окно,запуск сканирования,обнаружение вируса и требование перезапуска.Теперь непонятно,стёрт ли троян или нет.Что мне делать?
Вложение 10095
Вложение 10096
Вложение 10097
Последний раз редактировалось Nikulin_ho; 16.05.2007 в 20:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Nikulin_ho
Обращаюсь к Вам второй раз
Любезный Nikulin_ho, когда же будем логи по-правилам прикреплять?
Выполните скрипт
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\arprmdg5.sys','');
DeleteFile('\??\arprmdg5.sys');
BC_DeleteFile('\??\arprmdg5.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
после перезагрузки закачайте карантин и сделайте новые логи по правилам :
по-русски или
по-немецки
-
-
Junior Member
- Вес репутации
- 62
В карантине несколько файлов,какой именно нужно прислать?
-
Сообщение от
Nikulin_ho
В карантине несколько файлов,какой именно нужно прислать?
Все. Нужно с помощью пакера WinZip, WinRar etc. создать из папки 2007-05-15 архив в формате ZIP, который защищен паролем virus, назвать его - все равно как, напр. nikulin_ho.zip , и закачать его по ссылке
-
-
Junior Member
- Вес репутации
- 62
Отсылаю запрошенные файлы,надеюсь теперь всё правильно
Последний раз редактировалось Nikulin_ho; 16.05.2007 в 20:33.
-
Сообщение от
Nikulin_ho
Отсылаю запрошенные файлы,надеюсь теперь всё правильно
что касается логов - да. Карантин ждемс .
После закачки карантина: Пофиксите в HJT
O2 - BHO: H - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - C:\WINDOWS\system32\rem1.dll
Выполните скрипт
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\rem1.dll','');
DeleteFile('\??\rem1.dll');
BC_DeleteFile('\??\rem1.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.
после перезагрузки закачайте карантин и сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 62
При закачке архива выдаётся ошибка,что делаю не так?
-
Сообщение от
Nikulin_ho
При закачке архива выдаётся ошибка,что делаю не так?
какая ошибка?
-
-
Junior Member
- Вес репутации
- 62
один или несколько файлов не могут быть отправлены.
-
Сообщение от
Nikulin_ho
один или несколько файлов не могут быть отправлены.
Я Вам свое мыло в личку послал. Вышлите запароленный карантин на него.
-
-
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rem1.dll');
DeleteFile('C:\t12eqweqw3.exe');
DeleteFile('C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\HPSU89GO.48G\UpdateDatFix.exe');
DeleteFile('C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\g67f443d6gs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделайте новые логи.
Imho, этим все и ограничится.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Результаты последнего сканирования
Последний раз редактировалось Nikulin_ho; 16.05.2007 в 20:33.
-
Сообщение от
Nikulin_ho
Результаты последнего сканирования
в файле C:\WINDOWS\system32\arprmdg5.sys
AntiVir 7.4.0.15 05.15.2007 TR/Rootkit.Gen
Authentium 4.93.8 05.14.2007 W32/Goldun.gen3
AVG 7.5.0.467 05.15.2007 BackDoor.Generic6.AXQ
eTrust-Vet 30.7.3634 05.15.2007 Win32/Starimp!generic
Fortinet 2.85.0.0 05.15.2007 Haxdor!tr
F-Prot 4.3.2.48 05.14.2007 W32/Goldun.gen3
Microsoft 1.2503 05.15.2007 Backdoor:Win32/Haxdoor
NOD32v2 2267 05.15.2007 probably a variant of Win32/Rootkit.Agent.AT
Sophos 4.17.0 05.11.2007 Troj/Haxdor-Gen
Sunbelt 2.2.907.0 05.12.2007 Trojan.Win32.HideDrv.gen
Webwasher-Gateway 6.0.1 05.15.2007 Trojan.Rootkit.Gen
в файле C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\g67f443d6gs.exe
AntiVir 7.4.0.15 05.15.2007 TR/Crypt.NSPM.Gen
Avast 4.7.997.0 05.15.2007 Win32:Small-AMI
BitDefender 7.2 05.15.2007 Trojan.Downloader.Femad.XA
CAT-QuickHeal 9.00 05.15.2007 (Suspicious) - DNAScan
DrWeb 4.33 05.15.2007 Trojan.DownLoader.4995
eSafe 7.0.15.0 05.15.2007 suspicious Trojan/Worm
Ewido 4.0 05.15.2007 Downloader.Small
Fortinet 2.85.0.0 05.15.2007 suspicious
Ikarus T3.1.1.7 05.15.2007 Backdoor.Win32.PcClient.GV
Microsoft 1.2503 05.15.2007 VirTool:Win32/Obfuscator.A
NOD32v2 2267 05.15.2007 probably a variant of Win32/TrojanDownloader.Small.AMB
Panda 9.0.0.4 05.15.2007 Suspicious file
Sunbelt 2.2.907.0 05.12.2007 VIPRE.Suspicious
VBA32 3.12.0 05.15.2007 Trojan.DownLoader.4995
Webwasher-Gateway 6.0.1 05.15.2007 Trojan.Crypt.NSPM.Gen
в файле C:\t12eqweqw3.exe
AntiVir 7.4.0.15 05.15.2007 TR/Crypt.NSPM.Gen
Avast 4.7.997.0 05.15.2007 Win32:Small-AMI
BitDefender 7.2 05.15.2007 Trojan.Downloader.Femad.XA
CAT-QuickHeal 9.00 05.15.2007 (Suspicious) - DNAScan
DrWeb 4.33 05.15.2007 Trojan.DownLoader.4995
eSafe 7.0.15.0 05.15.2007 suspicious Trojan/Worm
Ewido 4.0 05.15.2007 Downloader.Small
Fortinet 2.85.0.0 05.15.2007 suspicious
Ikarus T3.1.1.7 05.15.2007 Backdoor.Win32.PcClient.GV
Microsoft 1.2503 05.15.2007 VirTool:Win32/Obfuscator.A
NOD32v2 2267 05.15.2007 probably a variant of Win32/TrojanDownloader.Small.AMB
Panda 9.0.0.4 05.15.2007 Suspicious file
Sunbelt 2.2.907.0 05.12.2007 VIPRE.Suspicious
VBA32 3.12.0 05.15.2007 Trojan.DownLoader.4995
Webwasher-Gateway 6.0.1 05.15.2007 Trojan.Crypt.NSPM.Gen
в файле C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\HPSU89GO.48G\UpdateDatFix.exe
Webwasher-Gateway 6.0.1 05.15.2007 Win32.Vulnerable.gen!High (suspicious)
так что можно считать чистым.
Мдя, а коллеги из ЛК сегодня, судя по всему, празднуют что-то. Я ведь поначалу там проверил, пока очередь на virustotal подошла.
@Bratez
так что насчет байкальской воды - зто я был неправ, права была моя интуиция
Последний раз редактировалось Rene-gad; 15.05.2007 в 18:35.
-
-
Junior Member
- Вес репутации
- 62
посылаю последние результаты после действий,указанных Братцем.Карантин пуст.
Последний раз редактировалось Nikulin_ho; 16.05.2007 в 20:33.
-
Junior Member
- Вес репутации
- 62
Уважаемый Rene-gad,что делать с вашей информацией?
-
Сообщение от
Nikulin_ho
посылаю последние результаты после действий,указанных Братцем
Зловреда не обнаружил. Но посоветую Вам еще прочитать вот это.
Уважаемый Rene-gad,что делать с вашей информацией?
не нужно так официально . Информацию примите к сведению, карантин отошлите на [email protected], прочитайте статью по ссылке вверху и следуйте заветам главы: Wie kann ich denn nun mein System vernünftig absichern?
-
-
Junior Member
- Вес репутации
- 62
Уважаемый Rene-gad!Компьтер работает нормально,но Касперский постоянно сигналит о заражении Trojan-Spy.Win.32.Banker.cnq.Почему не исчезает это сообщение.Может быть мне перегрузить Винду?Кроме того при запуске постоянно выскакивает чёрное окно Uninstall.sistem32.ntvdm.exe.Что это такое?
Последний раз редактировалось Nikulin_ho; 15.05.2007 в 19:11.
Причина: Неполный вопрос
-
Junior Member
- Вес репутации
- 62
Кроме того при запуске постоянно выскакивает чёрное окно C\...\Uninstall.sistem32.ntvdm.exe.Что это такое?
-
Выполните скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2649_x-ww_aac16c8b\comctl32.dll','');
QuarantineFile('appmgmts.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Карантин по правилам.
-
-
Уважаемый Nikulin_ho
пожалуйста не прибегайте к личным обращениям в форуме, это не хорошо.
Выполните скрипт, который напсал уважаемый коллега Alex_Goodwin.
-