"Средство удаления вредоносных программ" нашло TrojanDownloader:Win32/Banload.AFS

[sputnikk]

Сегодня получил апдейты для Вин 7. После перезагрузки "средство удаления вредоносных программ" обрадовало сообщением о частичном удалении TrojanDownloader:Win32/Banload.AFS . Где его нашла осталось непонятным, есть только ссылка http://www.microsoft.com/security/portal/T...2%2fBanload.AFS .

Но самое странное, что на компе стоит КАВ-Яндекс с автообновлением и полная проверка проводилась меньше суток назад. Я решил что произошёл сбой и Средство ошиблось. Тогда сделал откат системы до получения обновлений. Проверка КАВ важных областей ничего не дала. Но после установки апдейтов и перезагрузки средство вновь сообщило о трояне.

 

В связи с этим 2 вопроса:

1. По вашему мнению КАВ-Яндекс пропустил трояна?

2. Как узнать где Средство нашло и частично удалило троян?

[Roman_Five]

2. Как узнать где Средство нашло и частично удалило троян?

http://support.microsoft.com/kb/891716

Средство удаления вредоносных программ сохраняет отчет о результатах работы в файле журнала %windir%\debug\mrt.log.

sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

[sputnikk]

Спасибо.

Вирусом был признан Universal Extractor 1.6.1.57. Удалил его до выхода новой версии.

mrt.zip

[thyrex]

sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

[sputnikk]

Всё уже в порядке. Поставил 1.6.1.57n . Касперский, АВЗ, КуреИТ и Средство ничего не находят.

[Roman_Five]

Касперский, АВЗ, КуреИТ и Средство ничего не находят.

это говорит о том, что именно эти средства ничего не находят (и то не факт - AVZ является больше диагностическим средством, а не лечащим автоматически), а не то, что у Вас нет зловредов.

Цитата(Roman_Five @ 14.12.2011, 22:46)

sputnikk

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

это 3-е напоминание.

[sputnikk]

4 лога в одном архиве. Надеюсь всё сделал правильно

4_LOG.zip

Изменено 15 декабря, 2011 пользователем sputnikk

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Скачанное\psc_2.071\winio.sys','');
BC_ImportAll;
BC_Activate;
Executerepair (9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

[sputnikk]

Пофиксить не получилось.

Все обновления и так стоят.

Новые логи сейчас?

 

Не нашёл файл D:\Скачанное\psc_2.071. Удалил его. Калькулятор расчёта мощности блока питания примерно 7 летней давности.

Изменено 15 декабря, 2011 пользователем sputnikk

[Roman_Five]

Пофиксить не получилось.

фиксят в Hiajackthis, a не в AVZ

http://forum.kasperskyclub.ru/index.php?sh...ost&p=78496

Новые логи сейчас?

когда выполните все прошлые рекомендации

[sputnikk]

Пофиксил. Можете пояснить что это и зачем?

Выполнил заново.

 

Ответ:

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

С уважением, Лаборатория Касперского"

 

Как он мог не дойти, если был прикреплён? И как изменить пароль на архиве?

Кстати, не впервой до них "не доходит" файл.

LOG.zip

[Roman_Five]

Как он мог не дойти

99,9%, что карантин был пустой, т.к.

Не нашёл файл D:\Скачанное\psc_2.071. Удалил его.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WINIO', 4);
DeleteFileMask('D:\Скачанное\psc_2.071\','*.*',true,'');
DeleteDirectory('D:\Скачанное\psc_2.071\',' ');
DeleteService('WINIO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

на этом всё.

[sputnikk]

на этом всё.

В каком смысле? Ничего не было?

[Roman_Five]

Ничего не было?

мусор после некорректных деинсталляций.

[sputnikk]

мусор после некорректных деинсталляций.

Спасибо.

Если вы про Universal Extractor, то это наверное из-за "частичного удаления" трояна Средством.

Вот облом. Только решил повоевать с вирусом, а его не было. Касперский опять не подвёл.