Перейти к содержанию
Правила раздела

"Средство удаления вредоносных программ" нашло TrojanDownloader:Win32/Banload.AFS

sputnikk

От sputnikk
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

sputnikk Мудрец

sputnikk

Опубликовано
Опубликовано

Сегодня получил апдейты для Вин 7. После перезагрузки "средство удаления вредоносных программ" обрадовало сообщением о частичном удалении TrojanDownloader:Win32/Banload.AFS . Где его нашла осталось непонятным, есть только ссылка http://www.microsoft.com/security/portal/T...2%2fBanload.AFS .

Но самое странное, что на компе стоит КАВ-Яндекс с автообновлением и полная проверка проводилась меньше суток назад. Я решил что произошёл сбой и Средство ошиблось. Тогда сделал откат системы до получения обновлений. Проверка КАВ важных областей ничего не дала. Но после установки апдейтов и перезагрузки средство вновь сообщило о трояне.

 

В связи с этим 2 вопроса:

1. По вашему мнению КАВ-Яндекс пропустил трояна?

2. Как узнать где Средство нашло и частично удалило троян?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
2. Как узнать где Средство нашло и частично удалило троян?

http://support.microsoft.com/kb/891716

Средство удаления вредоносных программ сохраняет отчет о результатах работы в файле журнала %windir%\debug\mrt.log.

sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Касперский, АВЗ, КуреИТ и Средство ничего не находят.

это говорит о том, что именно эти средства ничего не находят (и то не факт - AVZ является больше диагностическим средством, а не лечащим автоматически), а не то, что у Вас нет зловредов.

Цитата(Roman_Five @ 14.12.2011, 22:46)

sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

это 3-е напоминание. :)

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Скачанное\psc_2.071\winio.sys','');
BC_ImportAll;
BC_Activate;
Executerepair (9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
sputnikk Мудрец

sputnikk

Опубликовано
  • Автор
Опубликовано (изменено)

Пофиксить не получилось.

Все обновления и так стоят.

Новые логи сейчас?

 

Не нашёл файл D:\Скачанное\psc_2.071. Удалил его. Калькулятор расчёта мощности блока питания примерно 7 летней давности.

post-22080-1323948246_thumb.jpg

Изменено пользователем sputnikk
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Пофиксить не получилось.

:)

фиксят в Hiajackthis, a не в AVZ

http://forum.kasperskyclub.ru/index.php?sh...ost&p=78496

Новые логи сейчас?

когда выполните все прошлые рекомендации

Ссылка на комментарий
Поделиться на другие сайты
sputnikk Мудрец

sputnikk

Опубликовано
  • Автор
Опубликовано

Пофиксил. Можете пояснить что это и зачем?

Выполнил заново.

 

Ответ:

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

С уважением, Лаборатория Касперского"

 

Как он мог не дойти, если был прикреплён? И как изменить пароль на архиве?

Кстати, не впервой до них "не доходит" файл.

LOG.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Как он мог не дойти

99,9%, что карантин был пустой, т.к.

Не нашёл файл D:\Скачанное\psc_2.071. Удалил его.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WINIO', 4);
DeleteFileMask('D:\Скачанное\psc_2.071\','*.*',true,'');
DeleteDirectory('D:\Скачанное\psc_2.071\',' ');
DeleteService('WINIO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

на этом всё.

Ссылка на комментарий
Поделиться на другие сайты
sputnikk Мудрец

sputnikk

Опубликовано
  • Автор
Опубликовано
мусор после некорректных деинсталляций.

Спасибо.

Если вы про Universal Extractor, то это наверное из-за "частичного удаления" трояна Средством.

Вот облом. Только решил повоевать с вирусом, а его не было. Касперский опять не подвёл.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • mksmith
      Возникли проблемы с удалением вредоносного ПО на моем компьютере
      От mksmith
      Всем привет,
      Мне нужна помощь с проблемой вредоносного ПО которая постоянно появляется на моем компьютере Я заметил необычное поведение, например частые всплывающие окна и значительное замедление производительности. После сканированя Kaspersky было обнаружено несколько угроз но даже после выполнения предлагаемых шагов по их удалению проблемы сохраняются,
      Также я использовал Kaspersky Virus Removal Tool и выполнил полное сканирование системы, но я все еще вижу симптом заражения Я беспокоюсь о безопасноти своих данных и конфиденциальности, потому что мой браузер постоянно перенаправляет меня на неизвестные веб сайты.
      Может ли кто нибудь посоветовать мне, что еще мне следует сделать, чтобы избавиться от этого вредоносного ПО?? Есть ли какие-то конкретные инструменты или методы, которые вы рекомендуете для полной очистки??
      Кроме того, я нашел эти ресурсы, когда проводил исследование по этому вопросу https://forum.kasperskyclub.ru/rpa-Interview-questopic/464326-netmalwareurl/ и если у кого tо есть какие либо ресурсы, руководства или личный опыт, пожалуйста, поделитесь со мной, я буду очень признателен!!
       
      Спасибо

       
    • Andrey Aleksandrovich
      Удаление программы, запрещённой KL-категорией.
      От Andrey Aleksandrovich
      Всем добрый вечер, есть программа в KL-категории, которая запрещена. Об этом приходит уведомление. Через панель управления (у пользователя) не удаётся ее удалить, нет прав пишет. Что именно в политике отвечает за это? Уже все пересмотрел.
    • Folclor
      Помощь в удалении вирусов
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • hu553in
      [РЕШЕНО] Поймал вредоносное ПО
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
×
×
  • Создать...