Обнаружил интересный вирус - принесли с флешки (есть маленький шанс, что все-таки из сети).
Он подменяет все папки ярлыками с переадресацией на папки, но предварительной запускает свое тело из спрятанной псевдокорзины.
В борьбе с предыдущей версией помогла утилита от касперского. Но данную версию не обнаружил не Ремов тул, ни куриит. Там вирус был вылечен в 2 этапа - возможно не до конца - удалением через АВЗ и Ремов тулом.
Авз видит перехваты и библиотеки, но как их удалить я не знаю.
При загрузке компа вылазит один процесс - он инициирует целый поток процессов с именем taskkill.exe, а потом уже появляются файлы 1.exe 2.exe и т.п. Цифры меняются. Файлы удалять пробовал из места их расположения
c:\documents and settings\admin\application data\
, после перезагрузки вновь появляются.
Есть подозрение, что он включил службы планировщика и терминала, которые на компьютере были выключены. Тут могу ошибаться.
Выкладываю логи Авз и хиджека (возможно не самые последние версии - зайти на сайт хиджека и касперского не получилось, поэтому использовал версию с флешки около 10 дневной давности (за 11 число)).
Удалить вирус не удалось посредством трех утилит - поэтому решил обратится к Вам, чтобы понять методику. Есть подозрение что заражено еще 2 компьютера и их нужно будет тоже как-то лечить.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) LevAle, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\4.exe');
QuarantineFile('c:\documents and settings\admin\application data\4.exe','');
DeleteFile('c:\documents and settings\admin\application data\4.exe');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Beegeh.exe','');
QuarantineFile('c:\windows\system32\taskmgr.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\7.exe');
QuarantineFile('c:\documents and settings\admin\application data\7.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\5.exe');
QuarantineFile('c:\documents and settings\admin\application data\5.exe','');
DeleteFile('c:\documents and settings\admin\application data\5.exe');
DeleteFile('c:\documents and settings\admin\application data\7.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Beegeh.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Beegeh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить + сделать лог MBAM(ссылка в подписи).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: