-
Junior Member
- Вес репутации
- 55
Подозрение на вирус - постоянные запросы к флоппи
Здравствуйте. Пару дней назад подключил флушку и антивирус (Avast) обнаружил вирус (авторан помойму) я его благополучно удалил. После начелись запросы к флоппи дисководу с интервалом 2-3 сек. Сканирование CureIt в безопасном режиме и Avastom при загрузке нечего не дали никакие вирусы не найдены. Но мне кажется вирус есть. Высылаю логи. Спасибо.
ЗЫ создался файл virusinfo_cure.zip размером 1 кб что с ним делать? Высылать нужно ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 55
Высылаю новые логи.
В AVZ- файл -> просмотр карантина ничего нет.
Создался файл virusinfo_cure.zip размером 1 кб Пробывал прислать через ссылку "Прислать запрошенный карантин" выскочило сообщение что уже загружен.
К флоппи запросы идут попрежнему
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
thyrex
Высылаю лог.
-
1. удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe (Security.Hijack) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Админ\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe','');
DeleteFile('C:\Documents and Settings\Админ\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe');
QuarantineFile('C:\WINDOWS\system32\vfp8rrus.dll','');
DeleteFile('C:\WINDOWS\system32\vfp8rrus.dll');
QuarantineFile('C:\WINDOWS\system32\twain32\local.ds','');
DeleteFile('C:\WINDOWS\system32\twain32\local.ds');
QuarantineFile('C:\WINDOWS\system32\twain32\user.ds','');
DeleteFile('C:\WINDOWS\system32\twain32\user.ds');
QuarantineFile('C:\xmp.bat','');
DeleteFile('C:\xmp.bat');
QuarantineFile('C:\WINDOWS\system32\drivers\str.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\str.sys');
QuarantineFile('C:\WINDOWS\system32\shell31.dll','');
DeleteFile('C:\WINDOWS\system32\shell31.dll');
DeleteFileMask('C:\Program Files\MyCentria', '*.*', true);
DeleteDirectory('C:\Program Files\MyCentria');
DeleteFileMask('C:\WINDOWS\system32\twain32 ', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\twain32 ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные лог MBAM
-
-
Junior Member
- Вес репутации
- 55
- Карантин выслал
Результат загрузки Файл сохранён как 100401_111919_quarantine_4bb448f7e3c54.zip
Размер файла 452557
MD5 66506258f5a1124a533d85d62cf65d60
- Лог прикрепил
-
удалите в MBAM
Код:
Зараженные папки:
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
- Сделайте повторные лог MBAM
-
-
Junior Member
- Вес репутации
- 55
Высылаю новые логи к MBAM
В логах ничего нет. Но проблема не решена, запросы к флоппи продолжаются.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
thyrex
Высылаю лог.
Во время сканирования ComboFix какой то процесс выдал ошибку и запросы к флоппи прекратились, но после перезагрузки опять начались.
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\Program Files\Common Files\DeviceHelper\DeviceManager.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Карантин выслал по ссылке Прислать запрошенный карантин
Результат загрузкиФайл сохранён как 100401_163406_virus_4bb492bec1885.zip
Размер файла 14701
MD5 0a67b73b8ec6067512349e96ecb896c5
Файл закачан, спасибо!
-
отключите флоп в биос ...
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
V_Bond
отключите флоп в биос ...
Отключить можно, но он нужен для работы.
Кстати когда я нахожусь в режиме переключения :" Пользователь-Администратор " запросы к флоппу прекращаются!
-
Файл чистый.
Попробуйте сделать так: отключите через msconfig все лишнее в автозапуске, а потом включайте по одной программе и сравнивайте результат (после перезагрузки конечно). Может удастся отследить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
отключите - перегрузитесь ... и можно снова включать
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
V_Bond
отключите - перегрузитесь ... и можно снова включать
Можно поподробнее как это сделать?
Зайти в биос ...
Добавлено через 1 минуту
Сообщение от
thyrex
Файл чистый.
Попробуйте сделать так: отключите через msconfig все лишнее в автозапуске, а потом включайте по одной программе и сравнивайте результат (после перезагрузки конечно). Может удастся отследить
Сейчас буду пробовать
Добавлено через 1 час 6 минут
Сообщение от
thyrex
Файл чистый.
Попробуйте сделать так: отключите через msconfig все лишнее в автозапуске, а потом включайте по одной программе и сравнивайте результат (после перезагрузки конечно). Может удастся отследить
Ваш совет помог!
Не поверите в флопик стучался процесс svyaznoymodem.exe (или как то так точно название процесса я не запомнил). На него я даже и не думал.
Пару дней назад я устанавливал USB модем Связной 3G.
После его удаления флоп затих. Непонятно только зачем он туда "стучался". Может как то некорректно стали драйвера!
Проблема решена, тему можно закрывать! Всем спасибо!
Последний раз редактировалось denis920; 01.04.2010 в 18:13.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения вредоносные программы в карантинах не обнаружены
-