Перейти к содержанию
Правила раздела
Поездка клуба

"Средство удаления вредоносных программ" нашло TrojanDownloader:Win32/Banload.AFS

sputnikk

Автор sputnikk,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

sputnikk

sputnikk 1 312

Опубликовано
Опубликовано

Сегодня получил апдейты для Вин 7. После перезагрузки "средство удаления вредоносных программ" обрадовало сообщением о частичном удалении TrojanDownloader:Win32/Banload.AFS . Где его нашла осталось непонятным, есть только ссылка http://www.microsoft.com/security/portal/T...2%2fBanload.AFS .

Но самое странное, что на компе стоит КАВ-Яндекс с автообновлением и полная проверка проводилась меньше суток назад. Я решил что произошёл сбой и Средство ошиблось. Тогда сделал откат системы до получения обновлений. Проверка КАВ важных областей ничего не дала. Но после установки апдейтов и перезагрузки средство вновь сообщило о трояне.

 

В связи с этим 2 вопроса:

1. По вашему мнению КАВ-Яндекс пропустил трояна?

2. Как узнать где Средство нашло и частично удалило троян?

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано
2. Как узнать где Средство нашло и частично удалило троян?

http://support.microsoft.com/kb/891716

Средство удаления вредоносных программ сохраняет отчет о результатах работы в файле журнала %windir%\debug\mrt.log.

sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 482

Опубликовано
Опубликовано
sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано
Касперский, АВЗ, КуреИТ и Средство ничего не находят.

это говорит о том, что именно эти средства ничего не находят (и то не факт - AVZ является больше диагностическим средством, а не лечащим автоматически), а не то, что у Вас нет зловредов.

Цитата(Roman_Five @ 14.12.2011, 22:46)

sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

это 3-е напоминание. :)

Ссылка на сообщение
Поделиться на другие сайты
sputnikk

sputnikk 1 312

Опубликовано
  • Автор
Опубликовано (изменено)

4 лога в одном архиве. Надеюсь всё сделал правильно

4_LOG.zip

Изменено пользователем sputnikk
Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Скачанное\psc_2.071\winio.sys','');
BC_ImportAll;
BC_Activate;
Executerepair (9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты
sputnikk

sputnikk 1 312

Опубликовано
  • Автор
Опубликовано (изменено)

Пофиксить не получилось.

Все обновления и так стоят.

Новые логи сейчас?

 

Не нашёл файл D:\Скачанное\psc_2.071. Удалил его. Калькулятор расчёта мощности блока питания примерно 7 летней давности.

post-22080-1323948246_thumb.jpg

Изменено пользователем sputnikk
Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано
Пофиксить не получилось.

:)

фиксят в Hiajackthis, a не в AVZ

http://forum.kasperskyclub.ru/index.php?sh...ost&p=78496

Новые логи сейчас?

когда выполните все прошлые рекомендации

Ссылка на сообщение
Поделиться на другие сайты
sputnikk

sputnikk 1 312

Опубликовано
  • Автор
Опубликовано

Пофиксил. Можете пояснить что это и зачем?

Выполнил заново.

 

Ответ:

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

С уважением, Лаборатория Касперского"

 

Как он мог не дойти, если был прикреплён? И как изменить пароль на архиве?

Кстати, не впервой до них "не доходит" файл.

LOG.zip

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано
Как он мог не дойти

99,9%, что карантин был пустой, т.к.

Не нашёл файл D:\Скачанное\psc_2.071. Удалил его.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WINIO', 4);
DeleteFileMask('D:\Скачанное\psc_2.071\','*.*',true,'');
DeleteDirectory('D:\Скачанное\psc_2.071\',' ');
DeleteService('WINIO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

на этом всё.

Ссылка на сообщение
Поделиться на другие сайты
sputnikk

sputnikk 1 312

Опубликовано
  • Автор
Опубликовано
мусор после некорректных деинсталляций.

Спасибо.

Если вы про Universal Extractor, то это наверное из-за "частичного удаления" трояна Средством.

Вот облом. Только решил повоевать с вирусом, а его не было. Касперский опять не подвёл.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...