Избавиться от Trojan.PWS.Ibank.28. - Страница 2

help? · 24.03.2010, 22:13

Цитата:

Сообщение от Svetliko

да мне бы вообще эту папку 666 удалить, да не дается. мне переустановили винд и 666 это бывшая Program Files, переименованная . при удалении пишет нет доступа.

Прекрасно!!!!Тогда удалим скриптом одной командой!!!!

---------- Добавлено в 21:13 ---------- Предыдущее сообщение было написано в 20:57 ----------

Выполнить скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\keylog.txt','');
 DeleteFile('J:\autorun.inf');
DeleteFileMask('C:\666' , '*.*', true);
DeleteDirectory('C:\666');
DeleteFile('H:\Autorun.exe');
DeleteFile('C:\System Volume Information\_restore{F9C806AD-3EA7-4ED5-92EE-704D40625CE8}\RP13\A0004393.exe');
DeleteFile('C:\System Volume Information\_restore{F9C806AD-3EA7-4ED5-92EE-704D40625CE8}\RP13\A0006723.exe');
DeleteFile('H:\System Volume Information\_restore{F9C806AD-3EA7-4ED5-92EE-704D40625CE8}\RP13\A0004490.exe');
DeleteFile('H:\System Volume Information\_restore{F9C806AD-3EA7-4ED5-92EE-704D40625CE8}\RP13\A0004513.exe');
DeleteFile('H:\System Volume Information\_restore{F9C806AD-3EA7-4ED5-92EE-704D40625CE8}\RP13\A0004532.exe');
DeleteFile('H:\System Volume Information\_restore{F9C806AD-3EA7-4ED5-92EE-704D40625CE8}\RP13\A0004588.exe');
DeleteFile('H:\System Volume Information\_restore{F9C806AD-3EA7-4ED5-92EE-704D40625CE8}\RP13\A0004594.exe');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Удалить в МБАМ:

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Повторить лог авз.
Как удалять с помощю MBAM указанные в теме элементы?
- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).
После удаления откройте лог и прикрепите его к сообщению.

Svetliko · 25.03.2010, 00:43

Получилось следующее:
http://exfile.ru/91393
http://exfile.ru/91394
и папка 666 на месте осталась

winshelp · 25.03.2010, 00:47

Svetliko, так вы хотите папку C:\666 - удалить???

Svetliko · 25.03.2010, 00:53

Цитата:

Сообщение от Svetliko

да мне бы вообще эту папку 666 удалить, да не дается. мне переустановили винд и 666 это бывшая Program Files, переименованная . при удалении пишет нет доступа.
помощники делали и не доделали. а я не думала, что там угроза сидит.

было бы отлично ее выкинуть раз там вредоносы притаились и чтоб место не занимала.

winshelp · 25.03.2010, 00:56

У вас кстати опять на диске J:\ сидит авторан.
Это флешка у вас???

Svetliko · 25.03.2010, 00:57

Внешний жесткий

winshelp · 25.03.2010, 01:27

Ясно, сейчас детальней просмотрю лог!

---------- Добавлено в 21:10 ---------- Предыдущее сообщение было написано в 21:00 ----------

Папки C:\666 у вас больше нет в логах ее не видно!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('J:\autorun.inf');
DeleteFileMask('C:\Documents and Settings\Svetulka\Local Settings\Temp' , '*.*', true);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Выполните в avz стандартный скрипт №2 посмотрим не осталось ли чего нибудь!

---------- Добавлено в 21:27 ---------- Предыдущее сообщение было написано в 21:10 ----------

Как успехи???
Сделали???

Svetliko · 25.03.2010, 01:31

http://exfile.ru/91397

winshelp · 25.03.2010, 01:46

Svetliko, авторан остался!!!
Флешками пользуетесь???

---------- Добавлено в 21:46 ---------- Предыдущее сообщение было написано в 21:41 ----------

ОБЯЗЯТЕЛЬНО !!!
Отключите восстановления системы:
Кликнуть пpавой кнопкой мыши на "Мой компьютеp".
Выбpать "Свойства".
Вкладка "Восстановление системы".
Поставить птичку на "Запpетить восстановление системных файлов на всех дисках".
Hажать "Пpименить".
Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

Отключите компьютер от Интернет/локалки!
Закройте/выгрузите все защитные программы!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('J:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки.
Повторите лог, если пользуетесь флешками, то со вставленными флешками или флешкой!

Svetliko · 25.03.2010, 02:47

Нет.Опять на J ?

Пошла исполнять

---------- Добавлено в 01:47 ---------- Предыдущее сообщение было написано в 00:46 ----------

http://exfile.ru/91410 вот результат

winshelp · 25.03.2010, 12:50

Можете прокоментировать, вам знаком этот файл:
J:\Seagate Backup\SVETA\DISTR\наше\аквис\Akvis 10 Crack 8bf\FrameSuite.exe
Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)

Svetliko · 25.03.2010, 18:49

Удалила папку Аквис

---------- Добавлено в 17:49 ---------- Предыдущее сообщение было написано в 17:14 ----------

Выкинула всю папку J:\Seagate Backup\SVETA\DISTR\наше
я этими дистрибутивами уже не помню, когда пользовалась
и сделала скрипт №2 http://exfile.ru/91507

winshelp · 25.03.2010, 22:53

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('J:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Повторите лог!

Svetliko · 26.03.2010, 01:15

Во время выполнения скрипта было такое сообщение :

Windows-Диск отсутсвует
Exception Processing Message c 0000013 Parameters 75b3bf7c475b3bf7c75b3bf7c

лог http://exfile.ru/91595

winshelp · 26.03.2010, 01:39

Ошибка может быть вызвана неплотным подключением вашего съемного ЖД.
Скрипт опять не смог удалить авторан.
Включаем в свойствах папки отображение скрытых файлов
и руками удаляем файл autorun.inf в корне диска J:\

Отпишитесь как получилось удалить.

25.03.2010, 01:27	#22 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Ясно, сейчас детальней просмотрю лог! ---------- Добавлено в 21:10 ---------- Предыдущее сообщение было написано в 21:00 ---------- Папки C:\666 у вас больше нет в логах ее не видно! Выполните скрипт в AVZ: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('J:\autorun.inf'); DeleteFileMask('C:\Documents and Settings\Svetulka\Local Settings\Temp' , '.', true); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Выполните в avz стандартный скрипт №2 посмотрим не осталось ли чего нибудь! ---------- Добавлено в 21:27 ---------- Предыдущее сообщение было написано в 21:10 ---------- Как успехи??? Сделали???

25.03.2010, 01:46	#24 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Svetliko, авторан остался!!! Флешками пользуетесь??? ---------- Добавлено в 21:46 ---------- Предыдущее сообщение было написано в 21:41 ---------- ОБЯЗЯТЕЛЬНО !!! Отключите восстановления системы: Кликнуть пpавой кнопкой мыши на "Мой компьютеp". Выбpать "Свойства". Вкладка "Восстановление системы". Поставить птичку на "Запpетить восстановление системных файлов на всех дисках". Hажать "Пpименить". Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК". Отключите компьютер от Интернет/локалки! Закройте/выгрузите все защитные программы! Выполните скрипт в AVZ: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('J:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки. Повторите лог, если пользуетесь флешками, то со вставленными флешками или флешкой!

25.03.2010, 22:53	#28 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Выполните скрипт в AVZ: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('J:\autorun.inf'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. Повторите лог!

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Trojan-Spy.Wind32.Zbot.ikh" Помогите избавиться от вируса!!!!!	Умка	Безопасность	11	16.01.2011 22:22
Trojan-Spy.Wind32.Zbot	ortie	Безопасность	10	25.12.2010 11:59
Trojan.Winlock.2194	Нестеренко Алёна	Безопасность	7	05.09.2010 23:02
Trojan A0040776.exe	Bilal	Безопасность	9	06.06.2010 21:00
Подхватил trojan.PWS.Ibank	COOLer_DMST	Безопасность	7	11.04.2010 03:37
Проблема с trojan.pws.ibank.28	bloomer376	Безопасность	17	02.04.2010 02:08
Решено: Вылечить от trojan.pws.ibank.28	akrav	Безопасность	28	22.03.2010 14:45
Trojan.MulDrop, Siggen1, PWS.Ibank + нет доступа к сайтам	v119	Безопасность	13	13.03.2010 13:17
Trojan.packed.666	Dvp190476	Безопасность	12	19.02.2010 22:04
Прочитайте,пожалуйста ЛОГИ.Trojan.Win32.Patched.fr,Trojan.Downloader.Jav a.Agent.an	joy-jo	Безопасность	2	10.02.2010 21:13
В компьютере завелся Trojan.WinSpy.440	horbul	Безопасность	8	08.02.2010 16:36
Log'и AVZ и HiJackThis (Trojan.WinSpy.440)	missFortu	Безопасность	13	11.01.2010 15:26

25.03.2010, 00:43	#17 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Получилось следующее: http://exfile.ru/91393 http://exfile.ru/91394 и папка 666 на месте осталась

25.03.2010, 00:47	#18 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Svetliko, так вы хотите папку C:\666 - удалить???

25.03.2010, 00:56	#20 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	У вас кстати опять на диске J:\ сидит авторан. Это флешка у вас???

25.03.2010, 00:57	#21 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Внешний жесткий

25.03.2010, 01:31	#23 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	http://exfile.ru/91397

25.03.2010, 02:47	#25 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Нет.Опять на J ? Пошла исполнять ---------- Добавлено в 01:47 ---------- Предыдущее сообщение было написано в 00:46 ---------- http://exfile.ru/91410 вот результат

25.03.2010, 12:50	#26 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Можете прокоментировать, вам знаком этот файл: J:\Seagate Backup\SVETA\DISTR\наше\аквис\Akvis 10 Crack 8bf\FrameSuite.exe Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)

25.03.2010, 18:49	#27 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Удалила папку Аквис ---------- Добавлено в 17:49 ---------- Предыдущее сообщение было написано в 17:14 ---------- Выкинула всю папку J:\Seagate Backup\SVETA\DISTR\наше я этими дистрибутивами уже не помню, когда пользовалась и сделала скрипт №2 http://exfile.ru/91507

26.03.2010, 01:15	#29 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Во время выполнения скрипта было такое сообщение : Windows-Диск отсутсвует Exception Processing Message c 0000013 Parameters 75b3bf7c475b3bf7c75b3bf7c лог http://exfile.ru/91595

26.03.2010, 01:39	#30 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Ошибка может быть вызвана неплотным подключением вашего съемного ЖД. Скрипт опять не смог удалить авторан. Включаем в свойствах папки отображение скрытых файлов и руками удаляем файл autorun.inf в корне диска J:\ Отпишитесь как получилось удалить.

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)