u.bat

[steals]

Доброго времени суток!
На всех локальных дисках созданы файлы u.bat и autorun.inf (видны через total commander), отключен показ системных и скрытых файлов. При попытке поменять состояния флага ничего не происходит. При открытии любого локального диска он открывается в новом окне.При удалении файлов u.bat и autorun.inf они появляются снова приблизительно через 5сек.Помогите решить проблему..

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('PSSdk21');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','');
 QuarantineFile('C:\WINDOWS\system32\KERNEL1.EXE','');
 QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
 QuarantineFile('C:\WINDOWS\system\DogHoertzel.dll','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFile('F:\autorun.inf');
 DeleteFile('H:\autorun.inf');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

Загрузите карантин согласно приложению №3 правил. Повторите логи.

[akok]

F:\Flash\Old\vova\Others\vir.zip вы случайно не отсюда заразились?

Добавлено через 5 минут

После выполнения скрипта и отправки карантина выполнить
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Вова\Рабочий стол\SMS.EXE','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Vphone.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pci7.sys','');
 QuarantineFile('C:\Program Files\S&S\DOG\dog.exe','');
 QuarantineFile('C:\Program Files\S&S\DOG\PCI7Util.dll','');
 QuarantineFile('c:\program files\s&s\dog\dog.exe','');
 BC_ImportALL;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил


p.s. vir.zip если там что нибудь новое можно тоже в карантин, а если старое и с бородой удаляйте

[steals]

akoKF:\Flash\Old\vova\Others\vir.zip вы случайно не отсюда заразились?
Нет, там лежит 14 файлов autorun.*, лежат уже около 2 месяцев. Раз уж про этот архив появился вопрос, скажите, могут ли вирусы будучи запакованы в архив активироватся?

Maxim
Я пользуюсь интернетом через телефон, архив который мне нужно Вам прислать имеет размер 11мб, если смысл его присылать если компьютер после Вашего скрипта начал работать (глюков нет, работа стабильная)?

[Макcим]

Maxim
Я пользуюсь интернетом через телефон, архив который мне нужно Вам прислать имеет размер 11мб, если смысл его присылать если компьютер после Вашего скрипта начал работать (глюков нет, работа стабильная)?

Т.е. возможности прислать его нам нет ни какой? Вам он собственно говоря не нужен, а вот нам очень бы пригодился

[steals]

Т.е. возможности прислать его нам нет ни какой?

Возможность есть всегда. Спасибо и на словах и на "Кнопочку" за оперативность. Выложу архив ближе к вечеру. Кстати Dog это запись телефонных разговоров неужеле она Вам тоже нада?

Добавлено через 17 минут

А можно ли узнать что это был за вирус и что он мог мне сделать???

[Макcим]

А можно ли узнать что это был за вирус и что он мог мне сделать???

Конечно, как только посмотрим карантин.

[akok]

Кстати Dog это запись телефонных разговоров неужеле она Вам тоже нада?

Ну если вы абсолютно уверенны в этой программе то оставьте себе

Нет, там лежит 14 файлов autorun.*, лежат уже около 2 месяцев. Раз уж про этот архив появился вопрос, скажите, могут ли вирусы будучи запакованы в архив активироватся?

Если архив запаролен и не sfx то нет

А зачем архив с вредоносными программами а?(это риторический вопрос ответ и мы сами знаем)

[steals]

Все отослал) 080109_060340_virus_4784b81cd4ab1.zip

[akok]

Trojan-PSW.Win32.OnLineGames.nij

Меняйте пароли на онлайн играх

[steals]

Пароли сменил. А что можете посоветовать на будушее? Стоит NOD32 (обновление от 09.01.200 и Outpost Firewall Pro ver. 3.51.759.6511 (462) как так получилось что нод не нашол этот вирус???Может стоит сменить антивирус, если да, то на какой??

[Макcим]

Вы логи вначале сделайте повторные, может ещё осталось чего...

[akok]

тогда вам сюда
http://virusinfo.info/forumdisplay.php?f=39

[steals]

Вот повторные логи!

[akok]

autorun.inf - Worm.Win32.AutoRun.bnq

Добавлено через 3 минуты

т.к. мне карантин не отправили
то отправьте по правилам
C:\WINDOWS\system32\drivers\pci7.sys

Добавлено через 3 минуты

или скриптом

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\drivers\pci7.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
  2. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.ngm (DrWEB: Trojan.MulDrop.6474)
  3. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.nij (DrWEB: Trojan.PWS.Wsgame.2387)
  4. d:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
  5. e:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
  6. f:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)
  7. h:\\autorun.inf - Worm.Win32.AutoRun.bnq (DrWEB: Win32.HLLW.Autoruner.1282)