sputnikk 1 309 Опубликовано 14 декабря, 2011 Share Опубликовано 14 декабря, 2011 Сегодня получил апдейты для Вин 7. После перезагрузки "средство удаления вредоносных программ" обрадовало сообщением о частичном удалении TrojanDownloader:Win32/Banload.AFS . Где его нашла осталось непонятным, есть только ссылка http://www.microsoft.com/security/portal/T...2%2fBanload.AFS . Но самое странное, что на компе стоит КАВ-Яндекс с автообновлением и полная проверка проводилась меньше суток назад. Я решил что произошёл сбой и Средство ошиблось. Тогда сделал откат системы до получения обновлений. Проверка КАВ важных областей ничего не дала. Но после установки апдейтов и перезагрузки средство вновь сообщило о трояне. В связи с этим 2 вопроса: 1. По вашему мнению КАВ-Яндекс пропустил трояна? 2. Как узнать где Средство нашло и частично удалило троян? Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 14 декабря, 2011 Share Опубликовано 14 декабря, 2011 2. Как узнать где Средство нашло и частично удалило троян? http://support.microsoft.com/kb/891716 Средство удаления вредоносных программ сохраняет отчет о результатах работы в файле журнала %windir%\debug\mrt.log. sputnikk внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 309 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 Спасибо. Вирусом был признан Universal Extractor 1.6.1.57. Удалил его до выхода новой версии. mrt.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 sputnikkвнимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 309 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 Всё уже в порядке. Поставил 1.6.1.57n . Касперский, АВЗ, КуреИТ и Средство ничего не находят. Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 Касперский, АВЗ, КуреИТ и Средство ничего не находят. это говорит о том, что именно эти средства ничего не находят (и то не факт - AVZ является больше диагностическим средством, а не лечащим автоматически), а не то, что у Вас нет зловредов. Цитата(Roman_Five @ 14.12.2011, 22:46) sputnikk внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи это 3-е напоминание. Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 309 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 (изменено) 4 лога в одном архиве. Надеюсь всё сделал правильно 4_LOG.zip Изменено 15 декабря, 2011 пользователем sputnikk Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('D:\Скачанное\psc_2.071\winio.sys',''); BC_ImportAll; BC_Activate; Executerepair (9); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 309 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 (изменено) Пофиксить не получилось. Все обновления и так стоят. Новые логи сейчас? Не нашёл файл D:\Скачанное\psc_2.071. Удалил его. Калькулятор расчёта мощности блока питания примерно 7 летней давности. Изменено 15 декабря, 2011 пользователем sputnikk Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 Пофиксить не получилось. фиксят в Hiajackthis, a не в AVZ http://forum.kasperskyclub.ru/index.php?sh...ost&p=78496 Новые логи сейчас? когда выполните все прошлые рекомендации Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 309 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 Пофиксил. Можете пояснить что это и зачем? Выполнил заново. Ответ: "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected. С уважением, Лаборатория Касперского" Как он мог не дойти, если был прикреплён? И как изменить пароль на архиве? Кстати, не впервой до них "не доходит" файл. LOG.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 Как он мог не дойти 99,9%, что карантин был пустой, т.к. Не нашёл файл D:\Скачанное\psc_2.071. Удалил его. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('WINIO', 4); DeleteFileMask('D:\Скачанное\psc_2.071\','*.*',true,''); DeleteDirectory('D:\Скачанное\psc_2.071\',' '); DeleteService('WINIO'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. на этом всё. Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 309 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 на этом всё. В каком смысле? Ничего не было? Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 Ничего не было? мусор после некорректных деинсталляций. Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 309 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 мусор после некорректных деинсталляций. Спасибо. Если вы про Universal Extractor, то это наверное из-за "частичного удаления" трояна Средством. Вот облом. Только решил повоевать с вирусом, а его не было. Касперский опять не подвёл. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти