вирус автарун

**DreamFire** · 08.10.2012, 00:02

При установке флешки нечайно нажали на фаил (ехе) программа зоркий глаз выдала сообщение что пойман вирус avtorun вроде так название. и через каждые 20 сек удаляла его с флешки а он снова и снова записывался.
в реестре в ключе странная запись
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Shell в норме а параметр Userinit
C:\WINDOWS\system32\Userinit.exe,,C:\Program Files\hmqjpthv\psivdwqm.exe

помогите ниже логи Спасибо
P.S как узнать почтовый ящик, если можно напишите его в лс

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.10.2012, 00:04

Уважаемый(ая) DreamFire, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 08.10.2012, 01:18

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\hmqjpthv\psivdwqm.exe','');
  DeleteFile('C:\Program Files\hmqjpthv\psivdwqm.exe');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
 ExecuteRepair(10);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

**DreamFire** · 08.10.2012, 22:19

Свежие логи. Флешка попала в обзор ? там папка страная висит -> RECYCLER и там 4 папки, в них файлы при открытии тут же пропадают

кажется из этой папки был вирус.
S-1-1-63-5446585683-2622052206-826510370-2312
S-2-3-47-0478232286-3508253088-474337214-8871
S-5-0-40-0204458112-0481480138-041426252-0253
S-5-3-42-2819952290-8240758988-879315005-3665 атрибут скрытый

посмотрити пожалуйста если что нибудь еще подозрительное ?

P.S уточнить хотелось то что выделенно жирным цветом нормально ? т.е этот значение ( -LM)
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

**regist** · 08.10.2012, 23:58

Сообщение от DreamFire

Флешка попала в обзор ?

нет, во время сканирования MBAM вы её подключили ? если нет, то повторите полное сканирование с подключённой флешкой.

Сообщение от DreamFire

там папка страная висит -> RECYCLER и там 4 папки, в них файлы при открытии тут же пропадают кажется из этой папки был вирус.

скорей всего да. Фраза во время открытия смущает, вы что эти файлы запускали ? (папки можете удалить вyjhvfkmyj/ps. нормально.

**DreamFire** · 09.10.2012, 00:17

скорей всего да. Фраза во время открытия смущает, вы что эти файлы запускали ? (папки можете удалить вyjhvfkmyj/ps. нормально.

да была нажата Вместо выделения для удаления фаил был запушен.

, во время сканирования MBAM вы её подключили

да была подключена.

Логи что ни будь показали ?
P.S ни знаю сюда ли это относиться или нет. вкратце Дисковод почему - то перестал читать(открывать многие) некоторые диски. Диски RW видят как обычные болванки, факт записи проходит с ошибкой что данные не записаны, при открытие диска на другом пк информация которая записывалась есть на диске (и такое случилось сразу на 2 дисководах)

**regist** · 09.10.2012, 00:35

файл запустили после снятия логов ? если да ещё раз повторите

Сообщение от regist

(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

**DreamFire** · 14.10.2012, 14:22

Файл quarantine.zip из папки AVZ
Результат загрузки

Файл сохранён как	121014_102146_quarantine_507a923a85407.zip
Размер файла	604
MD5	174359923d17ad7719e1e8d96a0c1ea8

**thyrex** · 14.10.2012, 14:27

Где новые логи, которые просили в сообщении №7???

**DreamFire** · 14.10.2012, 15:01

Логи в Сообщение №4

**thyrex** · 14.10.2012, 15:15

Сообщение от DreamFire

там папка страная висит -> RECYCLER

Этой папке на флешке нечего делать. Удаляйте

Сообщение от DreamFire

там 4 папки, в них файлы при открытии тут же пропадают

Скорее антивирус просыпается и удаляет файлы

Что с проблемой?

**DreamFire** · 14.10.2012, 16:07

Проблема решилась. но антивирус после выгрузки и загрузки баз (стало неактивным поле выгрузка антивируса и перестал обновляется). рук вируса дело или нет в панели управления - > установка и удаление программ пустое нет списка установленных программ.

**CyberHelper** · 14.10.2012, 16:17

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

вирус автарун (заявка № 125472)

Опции темы

вирус автарун

Это понравилось:

Антивирусная помощь

Антивирусная помощь

Итог лечения

Метки для этой темы

Ваши права в разделе