Packed.Win32.Katusha.o, а также autorun.inf, *exe, *pif

**kukushka22222** · 29.08.2011, 15:05

Антивирусные программы не устанавливаютя, если удается установить, то постоянно выключаются сами по себе функции проверки.
В корневых папках дисков C и D постоянно появляются файлы autorun.inf в сопровождении с файлами *exe или *pif с рандомными именами. Антивирусы их удаляют, но они тут же снова появляются. При подключении флешки такое же появляется и на флешке.
Последним, чем удалось с горем пополам сделать проверку, это Касперским. Полдня ничего не появлялось, но потом произошел сбой системы, синий экран... при перезагруске вирус снова возобновился. Переустановка Windows XP ничего не дает, всё так и остается. Помогите, пожалуйста, избавиться от этой гадости.
Сделала всё как написано в правилах, кроме подключения к интернету (тот компьютер к нему вообще не подключен), и запустить программу именно с админскими правами тоже не удалось. При проверке AVZ нашел еще и Packed.Win32.Katusha.o.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.08.2011, 15:06

Уважаемый(ая) kukushka22222, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Шапельский Александр** · 29.08.2011, 17:14

Отключите восстановление системы!

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\scykro.pif','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\mbph.pif','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\Alcmtr.exe','');
 QuarantineFile('C:\System Volume Information\_restore{16DB2CAC-8A67-411B-9EE8-CA2E38F9A06C}\RP1\A0000001.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\pftA~tmp\WDM\Alcmtr.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\lqphn.sys','');
 DeleteService('amsint32');
 StopService('amsint32');
 SetServiceStart('amsint32', 4);
 DeleteFile('C:\WINDOWS\system32\drivers\lqphn.sys');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\mbph.pif');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\scykro.pif');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Просканируйте компьютер этой утилитой--http://support.kaspersky.ru/faq/?qid=208636131

Сделайте новые логи

**kukushka22222** · 30.08.2011, 16:51

Запрошенный карантин отправила.
Сканирование предложенной утилитой сделала. Нашло много чего и вылечило. Пока что больше ничего не появлялось.
Новые логи сделала.

P.S. После всего еще раз всё повторно просканировала SalityKiller, в этот раз всё чисто, только последний пунт 1:

Infected files: 0
Infected processes: 0
Infected thread: 0
Cured files: 0
Executed registry scripts: 1

Так должно быть?

**thyrex** · 30.08.2011, 20:27

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('amsint32');
 DeleteFile('C:\WINDOWS\system32\drivers\lqphn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

**kukushka22222** · 31.08.2011, 16:03

Скрипт выполнила.
Новые логи сделала.

**Шапельский Александр** · 31.08.2011, 17:08

Чисто, с проблемой?

**kukushka22222** · 31.08.2011, 17:28

Сообщение от Шапельский Александр

Чисто, с проблемой?

Да, проблемы больше нет. Спасибо большое за помощь!

Хотела еще проверить утилитой SalityKiller флешки и переносной жесткий диск на этот вирус, но не понимаю где и как ввести ключ из командной строки. Подскажите, пожалуста!

**миднайт** · 31.08.2011, 18:16

SalityKiller просто запустите без всяких ключей. В последнем логе этот вирус не обнаружен.

**kukushka22222** · 31.08.2011, 18:57

Сообщение от миднайт

SalityKiller просто запустите без всяких ключей. В последнем логе этот вирус не обнаружен.

Это я знаю, что на компе ничего нет. Но я хочу флешки проверить, а чтобы проверить флешки, нужно

ключи для работы с SalityKiller.exe из командной строки
-r - сканировать flash-накопители, переносные жесткие диски, подключаемые через USB

но не пойму как это.

**миднайт** · 31.08.2011, 19:15

А. Ярлычок скиньте от SalityKiller.exe на рабочий стол и в его свойствах пропишите этот ключ. Запускайте ярлык...Либо можно bat-файл сделать.

**CyberHelper** · 01.09.2011, 19:15

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 22
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\admin\\local settings\\temp\\pfta~tmp\\wdm\\alcmtr.exe - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
2. c:\\mbph.pif - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.23, BitDefender: Trojan.SalityStub.A, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
3. c:\\windows\\alcmtr.exe - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
4. d:\\scykro.pif - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.23, BitDefender: Trojan.SalityStub.A, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )

Packed.Win32.Katusha.o, а также autorun.inf, exe, pif (заявка № 108039)

Опции темы