Здравствуйте.
Заразилась система, в которой, предположительно, была отключена автозагрузка с флешек, и хозяин которой говорит, что сторонние программы и файлы в ней не запускались. Стандартное сканирование и проверка в безопасном режиме CureIt-ом (dr.Web) выявило 2-3 вирусных файла (сканировались все диски). Заражение, однако, ликвидировано не было (на подключаемых флешках продолжают появляться скрытые файлы и папки).
Также хочу попросить вас проверить этот рег-файл, направленный на отключение автозапуска с флешек:
Windows Registry Editor Version 5.00
Правильно ли он составлен? И как можно полноценно и без риска проверить защищённость системы от вирусов (например, правильно ли работают ограниченные учётные записи, вышеизложенные исправления в реестре, SuRun, etc)?
p.s. Компьютер принадлежит соседу, и доступа к интернету у него нет — я буду переправлять сообщения ему и обратно.logpack01.7zlogpack01.7z
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DigitalDivide, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\UserXP\vjksnu.exe','');
DeleteFile('C:\Documents and Settings\UserXP\vjksnu.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Вот новые логи.
Я также удалил несколько строк из автозагрузки и заменил ключ диспетчера задач с ложного файла на C:\WINDOWS\system32\taskman.exe (C:\Documents and Settings\UserXP\app data\urjkje.exe и C:\Documents and Settings\UserXP\app data\selqeq.exe тоже были удалены).
После этого скрытые папки и файлы на флешках появляться перестали, но в некоторых папках всё ещё есть файлы вида 20.exe, 30.exe, етс; и компьютер всё ещё медленно работает и реагирует.
Вот логи MBAM.
Карантином отправил файл selqeq.exe.
В дальнейшем проблем со скоростью реагирования быть не должно. Ещё раз извиняюсь за медлительность и благодарю за терпение.
На этот раз я ничего трогать не стал.
Кстати, небольшой вопрос — есть ли смысл сканировать сразу все диски или на поздних этапах можно ограничиваться только системным диском (C)? Спрашиваю потому, что комп старенький, и сканирование всех дисков подряд занимает значительно больше времени.
Компьютер чист, спасибо вам за вашу помощь.
MBAB нашёл только это.
Код:
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
C:\Documents and Settings\UserXP\Local Settings\Temp\KMP_3.2.0.0.exe (PUP.ToolbarDownloader) -> No action taken.
IE и обновления Windows тоже поставил. Я их пытался ставить после этого сообщения, но не заметил, что они не установились. Кстати, можете сказать как они сумеют защитить, если ничего кроме них (и антивирусов) на компьютере сделано не будет? Пользователь ведь всё равно может скачать что-то и самостоятельно установить, не поняв что делает.
Это-то понятно.
Мне скорее трудно, как рядовому юзеру, понять, насколько масштабными являются эти дыры в сравнении с «дырами» в человеческом поведении (человеческий фактор). То есть, какова степень риска этих системных дыр, если в качестве сравнения иметь человека, который может скачать и собственноручно активировать заражённый варёз не с того сайта (и не с того браузера) или повестись на поздравление по случаю миллионного посещения.
правка: извиняюсь, если вопрос где-то уже задавался
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: