-
Junior Member
- Вес репутации
- 50
Win32.Packed.Autoit.A.Gen
Жена принесла флешку из налоговой (на нее записали криптоключ). Вставили флешку, запустился автозапуск и мой NOD32 4.2.42.3 сразу же нашел "подозрительные" файлы типа "BI MAT.EXE" и пишет, что обнаружен Win32.Packed.Autoit.A.Gen.
Блокирует редактор реестра, диспетчер задач, не дает запускать "Оперу".
Пробовал лечить, удалять вручную, форматировать флешку - все без толку.
Вирус создает одноименные файлы *.exe во всех папках флешки.
А попытка зайти в безопасном режиме приводила к "синему экрану смерти".
Просканировал NODом, затем Webом (CureIt!, правда в обычном режиме), сделал скрипты. Пока все это делал пару раз перезагрузился и вроде эта фигня исчезла, но чтобы убедиться окончательно решил все же создать эту тему (вдруг затаился где-то гад у меня на винте).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WORD.exe','');
QuarantineFile('C:\WINDOWS\system32\IEXPLORER.exe','');
DeleteFile('C:\WINDOWS\system32\IEXPLORER.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger');
DeleteFile('C:\WINDOWS\system32\WORD.exe');
DeleteFile('%windir%\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Вроде все сделал.
Файл карантина 110201_073651_virus_4d478de365742.zip закачан.
-
Удалите в МВАМ
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сделал.
Это все? Теперь можно спать спокойно?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
thyrex, ,jkmijt спасибо за помощь. Уже в который раз выручаете.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\hfs\\hfs.exe - not-a-virus:Server-FTP.Win32.SFH.gw
-