Показано с 1 по 16 из 16.

u.bat (заявка № 16151)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    13
    Вес репутации
    33

    Exclamation u.bat

    Доброго времени суток!
    На всех локальных дисках созданы файлы u.bat и autorun.inf (видны через total commander), отключен показ системных и скрытых файлов. При попытке поменять состояния флага ничего не происходит. При открытии любого локального диска он открывается в новом окне.При удалении файлов u.bat и autorun.inf они появляются снова приблизительно через 5сек.Помогите решить проблему..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('PSSdk21');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','');
     QuarantineFile('C:\WINDOWS\system32\KERNEL1.EXE','');
     QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
     QuarantineFile('C:\WINDOWS\system\DogHoertzel.dll','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\wincab.sys');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
     DeleteFile('H:\autorun.inf');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     ExecuteRepair(6);
     ExecuteRepair(8);
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    F:\Flash\Old\vova\Others\vir.zip вы случайно не отсюда заразились?

    Добавлено через 5 минут

    После выполнения скрипта и отправки карантина выполнить
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Вова\Рабочий стол\SMS.EXE','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Vphone.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\pci7.sys','');
     QuarantineFile('C:\Program Files\S&S\DOG\dog.exe','');
     QuarantineFile('C:\Program Files\S&S\DOG\PCI7Util.dll','');
     QuarantineFile('c:\program files\s&s\dog\dog.exe','');
     BC_ImportALL;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил


    p.s. vir.zip если там что нибудь новое можно тоже в карантин, а если старое и с бородой удаляйте
    Последний раз редактировалось akoK; 09.01.2008 в 16:20. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    13
    Вес репутации
    33
    akoKF:\Flash\Old\vova\Others\vir.zip вы случайно не отсюда заразились?
    Нет, там лежит 14 файлов autorun.*, лежат уже около 2 месяцев. Раз уж про этот архив появился вопрос, скажите, могут ли вирусы будучи запакованы в архив активироватся?

    Maxim
    Я пользуюсь интернетом через телефон, архив который мне нужно Вам прислать имеет размер 11мб, если смысл его присылать если компьютер после Вашего скрипта начал работать (глюков нет, работа стабильная)?

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от steals Посмотреть сообщение
    Maxim
    Я пользуюсь интернетом через телефон, архив который мне нужно Вам прислать имеет размер 11мб, если смысл его присылать если компьютер после Вашего скрипта начал работать (глюков нет, работа стабильная)?
    Т.е. возможности прислать его нам нет ни какой? Вам он собственно говоря не нужен, а вот нам очень бы пригодился

  7. #6
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    13
    Вес репутации
    33
    Цитата Сообщение от Maxim Посмотреть сообщение
    Т.е. возможности прислать его нам нет ни какой?
    Возможность есть всегда. Спасибо и на словах и на "Кнопочку" за оперативность. Выложу архив ближе к вечеру. Кстати Dog это запись телефонных разговоров неужеле она Вам тоже нада?

    Добавлено через 17 минут

    А можно ли узнать что это был за вирус и что он мог мне сделать???
    Последний раз редактировалось steals; 09.01.2008 в 14:50. Причина: Добавлено

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от steals Посмотреть сообщение
    А можно ли узнать что это был за вирус и что он мог мне сделать???
    Конечно, как только посмотрим карантин.

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Кстати Dog это запись телефонных разговоров неужеле она Вам тоже нада?
    Ну если вы абсолютно уверенны в этой программе то оставьте себе

    Нет, там лежит 14 файлов autorun.*, лежат уже около 2 месяцев. Раз уж про этот архив появился вопрос, скажите, могут ли вирусы будучи запакованы в архив активироватся?
    Если архив запаролен и не sfx то нет

    А зачем архив с вредоносными программами а?(это риторический вопрос ответ и мы сами знаем)
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    13
    Вес репутации
    33
    Все отослал) 080109_060340_virus_4784b81cd4ab1.zip

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Trojan-PSW.Win32.OnLineGames.nij

    Меняйте пароли на онлайн играх
    Microsoft Most Valuable Professional in Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    13
    Вес репутации
    33
    Пароли сменил. А что можете посоветовать на будушее? Стоит NOD32 (обновление от 09.01.200 и Outpost Firewall Pro ver. 3.51.759.6511 (462) как так получилось что нод не нашол этот вирус???Может стоит сменить антивирус, если да, то на какой??

  13. #12
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Вы логи вначале сделайте повторные, может ещё осталось чего...

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    тогда вам сюда
    http://virusinfo.info/forumdisplay.php?f=39
    Microsoft Most Valuable Professional in Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    13
    Вес репутации
    33
    Вот повторные логи!
    Вложения Вложения

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    autorun.inf - Worm.Win32.AutoRun.bnq

    Добавлено через 3 минуты

    т.к. мне карантин не отправили
    то отправьте по правилам
    C:\WINDOWS\system32\drivers\pci7.sys

    Добавлено через 3 минуты

    или скриптом
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\pci7.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Последний раз редактировалось akoK; 09.01.2008 в 16:23. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
      2. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.ngm (DrWEB: Trojan.MulDrop.6474)
      3. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.nij (DrWEB: Trojan.PWS.Wsgame.2387)
      4. d:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
      5. e:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
      6. f:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
      7. h:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)


  • Уважаемый(ая) steals, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01542 seconds with 21 queries