-
Junior Member
- Вес репутации
- 47
Вирус на флешке
Здравствуйте, такая проблема: сегодня подключил одну из своих флешек, а на ней какие-то странные файлы с названиями Opera.exe, RUN_TF2.exe, RUNDLL32.exe, SPOOLSV.exe. Проверил их на http://vms.drweb.com/online/?lng=ru во всех нашёлся Win32.Virut.56. Что делать? На флешке очень важная информация. Как скинуть её на компьютер, при этом не заразив его? Как узнать, что он уже не заразился?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Eragog, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
У вас файловый вирус.
Как лечить - здесь:
http://virusinfo.info/showthread.php?t=15927
При этом полностью сканировать все диски на компьютере, и флешка должна быть подключена к компьютеру.
После лечения сделайте логи по правилам:
http://virusinfo.info/pravila.html
-
-
Junior Member
- Вес репутации
- 47
Сообщение от
Nikkollo
Подождите, может, его нет на компьютере. Я же сказал, что только на флешке странности. С компьютером всё нормально (вчера логи выкладывал, здесь сказали, что всё нормально). Или вы считаете, что при подключении флешки компьютер заразился?
-
Сообщение от
Eragog
логи выкладывал, здесь сказали, что всё нормально
На Win7 риск заразиться с флэшки посредством автозапуска невелик (надеюсь, вы сами не запускали эти файлы?). Но с другой стороны, файловые вирусы семейства Virut в логах AVZ и HijackThis не видны. Так что для полной уверенности надо сделать, как сказал коллега Nikkollo:
Думаю, можно для начала сделать быструю проверку утилитой CureIt, и по ее результатам будет видно - лечить по полной схеме или только флэшку.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Сообщение от
Bratez
На Win7 риск заразиться с флэшки посредством автозапуска невелик (надеюсь, вы сами не запускали эти файлы?). Но с другой стороны, файловые вирусы семейства Virut в логах AVZ и HijackThis не видны. Так что для полной уверенности надо сделать, как сказал коллега Nikkollo:
Думаю, можно для начала сделать быструю проверку утилитой CureIt, и по ее результатам будет видно - лечить по полной схеме или только флэшку.
Ситуация такая: автозапуск с флешек отключён. Сам я, естественно, файлы эти не запускал. Насчёт проверок: проверять просто утилитой CureIt или с загрузочного диска? И насчёт диска: у меня нет чистого компьютера, чтобы записать диск. Есть второй комп, но не известно чистый он или нет. Эти файлы я через браузер отправлял на проверку сюда - http://vms.drweb.com/online/?lng=ru и сюда - http://www.virustotal.com/. Из-за этого может произойти заражение?
-
Сообщение от
Eragog
проверять просто утилитой CureIt или с загрузочного диска?
В вашем случае я думаю достаточно CureIt. Если выяснится, что система все-таки заражена, тогда желательно будет сделать диск.
Сообщение от
Eragog
Эти файлы я через браузер отправлял на проверку ... Из-за этого может произойти заражение?
Нет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Сообщение от
Bratez
В вашем случае я думаю достаточно CureIt.
Нет.
Значит, провести только быструю проверку CureIt'ом? А флешку тоже проверить? А что делать с нужными файлами на этой флешке? И в каком режиме выполнять проверку? Безопасном?
Последний раз редактировалось Eragog; 25.09.2011 в 18:20.
Причина: Добавил.
-
Для дисков в системе - быструю.
Для флешки - полное сканирование.
Virut заражает исполняемые файлы, но излечим.
Алгоритм при этом такой - все, что лечится - лечить, что не лечится - перемещать в карантин.
Перед этим, если файлы на флешке вам очень важны и их потом больше неоткуда восстановить - скопируйте их на жесткий диск и заархивируйте с паролем.
Проверку можно делать в любом режиме.
И логи еще раз сделайте и приложите.
-
-
Junior Member
- Вес репутации
- 47
Делать проверку из системы или с загрузочного диска?
-
Из системы, свежескачанным CureIt.
Но если при этом будут наблюдаться какие-нибудь аномалии - тогда с загрузочного диска.
-
-
Junior Member
- Вес репутации
- 47
Сообщение от
Nikkollo
Из системы, свежескачанным CureIt.
Но если при этом будут наблюдаться какие-нибудь аномалии - тогда с загрузочного диска.
В смысле "аномалии"?
-
Ну в смысле - внезапное прекращение работы CureIt. Или перезагрузки системы. Или что-нибудь подобное.
-
-
Junior Member
- Вес репутации
- 47
Провёл быструю проверку CureIt'ом. При быстрой проверке почему-то проверился только диск C. Ничего то, что я проводил проверку с включённой KIS? Ничего не обнаружено. Потом провёл выборочную проверку флешки, в файлах, о которых я писал ранее: обнаружен вирус - Win32.Virut.56. Вылечил. После лечения файлы остались, но тут - http://vms.drweb.com/online/?lng=ru уже не обнаруживается вирус Win32.Virut.56. На virustotal.com всё равно обнаруживаются вирусы. Вот пример - http://www.virustotal.com/file-scan/...e80-1316966246. Что делать дальше? Как узнать заражён ли компьютер? Что делать с флешкой?
Добавлено через 4 минуты
Забыл написать: сейчас у меня на компьютере почему-то запущено 3 процесса ctfmon.exe (C:\Windows\SysWOW64\ctfmon.exe). Раньше данный процесс у меня не запускался. Это нормально? Это как-то связано с проверкой CureIt'ом?
Последний раз редактировалось Eragog; 25.09.2011 в 20:16.
Причина: Добавлено
-
Сделайте логи по правилам и приложите.
Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
-
-
Junior Member
- Вес репутации
- 47
Сообщение от
Nikkollo
Сделаю, а что с компьютером? Как узнать, заражён ли он? И что с флешкой? Как вытащить оттуда нужные файлы, не заразив компьютер?
Добавлено через 1 час 53 минуты
Сейчас заметил: у меня на компьютере появился третий notepad.exe в папке c:\windows\notepad.exe. Остальные находятся в c:\windows\system32\notepad.exe и c:\windows\syswow64\notepad.exe. И ещё: KIS показала, что notepad.exe обращался к системным dll. Это нормально?
Добавлено через 3 часа 14 минут
Мне ответят?
Последний раз редактировалось Eragog; 26.09.2011 в 12:37.
Причина: Добавлено
-
На Рабочем столе сделайте новую папку и скопируйте туда нужные вам файлы с флешки.
Затем папку заархивируйте с паролем.
Потом сделате то, что в сообщении №15 и приложите соответствующие файлы в соответслвующие места.
С notepad.exe - это нормально.
-
-
Eragog, Уважаемый, давайте наконец закончим дискуссию. Сделайте логи по правилам, Вам ответят заражен Ваш компьютер или нет. Если да - Вам выпишут "рецепт".
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 47
Сообщение от
Nikkollo
На Рабочем столе сделайте новую папку и скопируйте туда нужные вам файлы с флешки.
Затем папку заархивируйте с паролем.
Потом сделате то, что в сообщении №15 и приложите соответствующие файлы в соответслвующие места.
С notepad.exe - это нормально.
Во-первых, если я скопирую файлы с флешки в папку на рабочем столе, компьютер может заразиться? Во-вторых, зачем её архивировать с паролем? В-третьих, эти файлы нужны мне для использования сейчас (ключевые файлы для доступа к WMID). В-четвёртых, как узнать не заражён ли компьютер уже?
Добавлено через 22 минуты
Забыл спросить: а что делать с файлами на флешке, в которых вирус? CureIt их вроде вылечил, но virustotal.com показывает, что там есть вирус.
Последний раз редактировалось Eragog; 26.09.2011 в 13:28.
Причина: Добавлено
-
-