В процессе работы возникают следующие неполадки: при открытии диска запускается авторан, невозможно включить показ скрытых файлов и папок (просто нет такого пункта)
В процессе работы возникают следующие неполадки: при открытии диска запускается авторан, невозможно включить показ скрытых файлов и папок (просто нет такого пункта)
С помощью AVZ (Сервис - Поиск файлов на диске)
найдите и добавьте в карантин файл:
C:\WINDOWS\system32\Deleteme.vbs
Пришлите все содержимое карантина согласно приложению 3 правил.
I am not young enough to know everything...
файл выслала
А где же C:\WINDOWS\system32\Deleteme.vbs ? Не нашли?
Еще поищите с помощью AVZ и пришлите файл ielp.exe.
После этого напишу скрипт лечения.
I am not young enough to know everything...
avz пишет такое:
Ошибка карантина файла "C:\ielp.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
то же самое с deleteme.rbs
При попытке открыть диск, запускается процесс worm.exe, который потом создает файл C:\ielp.exe и запускает его, а потом еще C:\WINDOWS\system32\KEDLL.exe и тоже запускает
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\worm.exe'); DeleteFile('c:\windows\system32\deleteme.vbs'); DeleteFile('c:\ielp.exe'); DeleteFile('C:\autorun.*'); DeleteFile('C:\windows\system32\autorun.*'); DeleteFile('D:\autorun.*'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Потом выполните еще один скрипт:Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\Deleteme.vbs O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
(будет перезагрузка).Код:begin SetAVZGuardStatus(True); RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2'); ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
После этого сделайте новые логи.
C:\WINDOWS\system32\KEDLL.exe нигде не фигурирует.
Поищите его через AVZ, если найдется - пришлите по правилам.
I am not young enough to know everything...
новые логи
Диски открываются нормально, остается проблема с отображением скрытых файлов
Остались autorun.inf, остальных компонентов не видно.
Выполните такой скрипт:
После перезагрузки включите в проводнике показ скрытых и системных файлов (пункт меню должен уже появиться) и убедитесь в отсутствии autorun.inf на C: и D:Код:begin SetAVZGuardStatus(True); DeleteFile('c:\ielp.exe'); DeleteFile('D:\ielp.exe'); DeleteFile('C:\autorun.*'); DeleteFile('C:\windows\system32\autorun.*'); DeleteFile('D:\autorun.*'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Аккуратно проверьте все съемные носители, как описано в этой статье.
I am not young enough to know everything...
Если по-прежнему не удается включить показ скрытых и системных, попробуйте в AVZ: Файл - Восстановление системы - отметить п.5,6,8 - Выполнить.
Все равно просмотреть скрытые файлы невозможно. Прикладываю логи и карантин с др. машины - там те же проблемы (скорей всего с нее и пошло распространение через флешку). В карантине есть файл KEDLL.exe, ielp.exe, iehelp.exe
Карантин получился довольно большим -482кБ. Через прикрепление файлов не отправляется. Отправить его через "Прислать запрашиваемые файлы" ?
Да, и только так! Но если это все о другом компьютере, надо открыть новую тему и все делать там.Отправить его через "Прислать запрашиваемые файлы" ?
По разблокировке пункта меню я сейчас поищу, где-то видел информацию, просто ключик в реестре поправить надо будет.
I am not young enough to know everything...
Так и не смог найти, как разблокировать этот флажок
Попробуйте импортировать в реестр вот это, флажок может и не появится, а скрытые файлы увидятся:
(скопировать все что в рамочке в текстовый файл и сохранить его с расширением .reg, потом по нему двойной щелчок. Сможете?)Код:Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 "SuperHidden"=dword:00000001 "ShowSuperHidden"=dword:00000001
попробую
по скрытому файлу autorun.inf в корне каждого диска. Кроме того, все время стали появляться окна создания паспорт.net и live ID
Если удалить руками - появляются снова?по скрытому файлу autorun.inf в корне каждого диска.
Уберите мессенджер из автозапуска, в его настройках либо пофикситестали появляться окна создания паспорт.net и live ID
Код:O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
I am not young enough to know everything...
До сих пор "авторановые" вирусы лечились легко, а ваш прямо ну очень живучий и заковыристый Если файлы появятся после удаления, то делаем перерыв, надо поискать о нем сведения.
А логи от другого компьютера вынесите все-таки в отдельную тему чтобы не путаться, там кстати зоопарк еще тот
Уважаемый(ая) Tasha9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.