Вирус с флешки autorun.inf

[HeADDAWAY]

Здравстввуйте. Был занесен вирус с флешки. Симтомы - в корне создается исполняемый скрипт autorun.inf , и папка RECYCLER с файлом 0x2D9FA278.exe. Файл autorun.inf заблокирован процессом explorer, то есть сходу его удалить нельзя. При этом перестал открыватся один из браузеров (Опера), и нельзя зайти на сайты антивирусных компаний.
Компьютер был просканирован в безопасном режиме свежим CureIT'ом, но без результатно. С помощью программы autoruns (sysutils), в автозагрузке был непонятный процесс, с местом расположения в C:\Documents and settings\*username*\Local settings\Temp. Так же в дистечере задач при загрузке появлялись процессы uf0.exe, uf1.exe, uhaqua.exe. Файлы uf*.exe располагались в :\Documents and settings\*username*\Local settings\Temp, а uhaqua.exe в C:\Windows. После перезагрузки удалённые файлы восстанавливаются. С попмощью того же autoruns были удалены запланированные задачи из системы (в задачах было создание указанных выше файлов). Так же в службах появилась sshnas21, файл располоагался в C:\Windows\system32\drivers. Была почищена ветка реестра отвечающая за автозапуск программ. К сожалению, после проделанных действий стал не доступен рееестр из обычного режима загрузки системы, только из безопасного. Особенность - вирус появляется только на сменных носителях, на HDD не расспространяется (Autorun.inf с комплектом). В скрипте Autorun.inf прописан параметр action=Open folder to view files. Так что вирус срабатывает при открытии носителя. Нужна помощь.

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Обновите базы AVZ и сделайте новые логи, как написано в разделе Диагностика правил, с подключенной флэшкой.

[HeADDAWAY]

Отключил восстановление системы и сделал новые логи согласно правил, с подключенной флэшкой и внешним hdd, на который вирус тоже перешел.

[Bratez]

Съемные носители пусть остаются подключенными!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('J:\autorun.inf','');
 QuarantineFile('F:\RECYCLER\0x2D9FA278.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\Documents and Settings\TEST\Application Data\Swubut.exe','');
 DeleteFile('C:\Documents and Settings\TEST\Application Data\Swubut.exe');
 DeleteFile('C:\Documents and Settings\TEST\Local Settings\Temp\{18E484D5-8544-4CE0-B877-0582ECD556B0}\fsgk.sys');
 DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\RECYCLER\0x2D9FA278.exe');
 DeleteFile('J:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=101591).
Сделайте новые логи.

[HeADDAWAY]

Выполнил скрипт. После перезагрузки удалились вирусы с флешки и внешнего винчестера, а также уже могу заходить на сайты антивирусов. Остались процессы в диспетчере задач Uf1.exe и Uhaqub.exe (раньше он назывался uhaqua.exe). Опера по-прежнему не запускается.

Выслал карантин и прикрепил новые логи.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
 QuarantineFile('c:\windows\uhaqub.exe','');
 QuarantineFile('c:\docume~1\test\locals~1\temp\uf1.exe','');
 DeleteFile('c:\docume~1\test\locals~1\temp\uf1.exe');
 DeleteFile('c:\windows\uhaqub.exe');
DeleteFile('C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[HeADDAWAY]

Вирусные процессы больше не появляются в диспетчере задач.
Единственное, не запускается опера и иногда IE после того, как закрыл его, не всегда открывается. Висит много процессов iexplore.exe в диспетчере, когда их убираю, он запускается.

Сделал новые логи, выслал карантин!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).

[HeADDAWAY]

Сделал новый лог. Остались все те же неполадки с Оперой. В гугле при поиске картинок, IE выдаёт ошибку.

[polword]

- Сделайте лог MBAM

[HeADDAWAY]

Сделал лог MBAM. Нашло еще кучу всяких зараженных файлов.

[polword]

- удалите в MBAMвсе кроме этих строк

Код:

c:\program files\WinRAR\original\rar slayer v1.1.exe (Malware.Tool) -> No action taken.
e:\Software\keygen_nero7.exe (RiskWare.Tool.CK) -> No action taken.
e:\Software\womble.mpeg.video.wd.dvd.v5.0.0.101\womble.mpeg.video.wd.dvd.v5.0.0.101\Patch\womble.multimedia.mpeg.video.wizard.dvd.5.0-patch.exe (Malware.Packer) -> No action taken.
e:\Software\network assist chat 3.1\keygen.exe (Malware.Packer.Gen) -> No action taken.
e:\Software\soft-video\-other\honestech burn dvd v3.1\keygen.exe (Malware.Packer.Gen) -> No action taken.
e:\Software\soft-video\-other\memoriesontv v2.1.7\Keygen.exe (Malware.Packer.Gen) -> No action taken.
e:\Software\soft-video\-other\sony dvd architect v2.0a build 121\damn_concmpeg_plugin10_kg.exe (Trojan.Agent.CK) -> No action taken.
e:\Software\elby.clonedvd2.v2.9.2.0.final-snd\SND\clonedvd2keygen.exe (Trojan.Downloader) -> No action taken.
e:\установки арх.программ\AC2009\Crack\xf-acad9-32-bits.exe (RiskWare.Tool.HCK) -> No action taken.
j:\system volume information\_restore{f0486d26-706d-4802-899f-376f8ef96c81}\RP262\A0862680.exe (Trojan.Agent.Gen) -> No action taken.

- перезагрузитесь
- Сделайте повторный лог MBAM

[HeADDAWAY]

Удалил все строки, кроме указанных. Проблемы с оперой и IE остались. Сделал новый лог.

[миднайт]

Прогоните систему этим http://support.kaspersky.ru/faq/?qid=208636926
и приложите лог работы утилиты.

[HeADDAWAY]

Последняя утилита удалила вредоносный файл, и всё заработало как раньше. Спасибо всем за помощь!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\test\\application data\\swubut.exe - Trojan.Win32.Powp.pmh ( DrWEB: Trojan.Inject.52635, BitDefender: Trojan.Generic.5888100, AVAST4: Win32:Malware-gen )
  2. c:\\docume~1\\test\\locals~1\\temp\\uf1.exe - Hoax.Win32.FlashApp.gof ( DrWEB: Trojan.DownLoader2.52209, BitDefender: Trojan.Generic.5869933, AVAST4: Win32:MalOb-IJ [Cryp] )
  3. c:\\windows\\system32\\sshnas21.dll - Hoax.Win32.FlashApp.gco ( DrWEB: Trojan.Fakealert.20681, BitDefender: Gen:Variant.Kazy.21930, NOD32: Win32/TrojanDownloader.FakeAlert.ARF trojan, AVAST4: Win32:Renosator [Cryp] )
  4. c:\\windows\\uhaqub.exe - Trojan-FakeAV.Win32.FlashApp.st ( DrWEB: Trojan.DownLoader2.50040, BitDefender: Trojan.Generic.5860225, AVAST4: Win32:MalOb-IJ [Cryp] )
  5. f:\\recycler\\0x2d9fa278.exe - Trojan.Win32.Powp.pmh ( DrWEB: Trojan.Inject.52635, BitDefender: Trojan.Generic.5888100, AVAST4: Win32:Malware-gen )