Показано с 1 по 9 из 9.

Вирус с флешки (заявка № 112895)

  1. #1
    Junior Member Репутация
    Регистрация
    24.11.2011
    Сообщений
    7
    Вес репутации
    46

    Thumbs up Вирус с флешки

    Добрый день.

    Обнаружил интересный вирус - принесли с флешки (есть маленький шанс, что все-таки из сети).

    Он подменяет все папки ярлыками с переадресацией на папки, но предварительной запускает свое тело из спрятанной псевдокорзины.
    В борьбе с предыдущей версией помогла утилита от касперского. Но данную версию не обнаружил не Ремов тул, ни куриит. Там вирус был вылечен в 2 этапа - возможно не до конца - удалением через АВЗ и Ремов тулом.

    Авз видит перехваты и библиотеки, но как их удалить я не знаю.

    При загрузке компа вылазит один процесс - он инициирует целый поток процессов с именем taskkill.exe, а потом уже появляются файлы 1.exe 2.exe и т.п. Цифры меняются. Файлы удалять пробовал из места их расположения
    c:\documents and settings\admin\application data\
    , после перезагрузки вновь появляются.

    Есть подозрение, что он включил службы планировщика и терминала, которые на компьютере были выключены. Тут могу ошибаться.

    Выкладываю логи Авз и хиджека (возможно не самые последние версии - зайти на сайт хиджека и касперского не получилось, поэтому использовал версию с флешки около 10 дневной давности (за 11 число)).

    Удалить вирус не удалось посредством трех утилит - поэтому решил обратится к Вам, чтобы понять методику. Есть подозрение что заражено еще 2 компьютера и их нужно будет тоже как-то лечить.

    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) LevAle, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    116
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\documents and settings\admin\application data\4.exe');
     QuarantineFile('c:\documents and settings\admin\application data\4.exe','');
     DeleteFile('c:\documents and settings\admin\application data\4.exe');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Beegeh.exe','');
     QuarantineFile('c:\windows\system32\taskmgr.exe','');
     TerminateProcessByName('c:\documents and settings\admin\application data\7.exe');
     QuarantineFile('c:\documents and settings\admin\application data\7.exe','');
     TerminateProcessByName('c:\documents and settings\admin\application data\5.exe');
     QuarantineFile('c:\documents and settings\admin\application data\5.exe','');
     DeleteFile('c:\documents and settings\admin\application data\5.exe');
     DeleteFile('c:\documents and settings\admin\application data\7.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Beegeh.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Beegeh');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить + сделать лог MBAM(ссылка в подписи).

  5. #4
    Junior Member Репутация
    Регистрация
    24.11.2011
    Сообщений
    7
    Вес репутации
    46
    Сделано. Новые логи высылаю. Малварбайтс поставил на сканирование полное. Будет долго - компьютер медленный и много хлама.
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    24.11.2011
    Сообщений
    7
    Вес репутации
    46
    Добавлен отчет Malwarebytes.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    116
    Удалите в MBAM все, кроме:
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    c:\WINDOWS\notepad.exe (Trojan.Agent) -> No action taken.
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    ClearQuarantine;
    QuarantineFile('c:\WINDOWS\notepad.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Карантин прислать согласно правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    24.11.2011
    Сообщений
    7
    Вес репутации
    46
    Результат загрузкиФайл сохранён как 111124_153805_virus_4ece64dda861e.zip
    Размер файла 4158
    MD5 22347bf09c04bf07da3f29b7b96fc826

  9. #8
    Junior Member Репутация
    Регистрация
    24.11.2011
    Сообщений
    7
    Вес репутации
    46
    На сколько я понял последний вопрос был профилактическим.
    Вирус пропал - система функционирует нормально.
    Большое спасибо.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\beegeh.exe - Trojan.Win32.Jorik.Vobfus.kai ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.429346, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:AutoRun-CMB [Wrm] )


  • Уважаемый(ая) LevAle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус с флешки
      От helzengel в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.08.2011, 12:52
    2. Вирус с флешки
      От vld1 в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 01.06.2010, 13:17
    3. Вирус с флешки
      От CathMoscow в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.02.2010, 16:51
    4. Вирус с флешки
      От AleXPander в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.12.2008, 02:35
    5. Вирус с флешки
      От xzence в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.06.2008, 02:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00800 seconds with 18 queries