Вирусня в автозапуске
И снова вирус, в автозапуске, не дает увидеть скрытые файлы. Логи прикладываю. Вопрос, возможно-ли кхм... в краткие сроки научиться составлять простейшие скрипты на удаление и карантин файлов, ну и разумеется на чтение тех логов что прикладываю ? =)
Некоторое время назад я уже обращался, подлечился, но вставив флешку принесенную из инста, новь заразился. Потому и хочу чтобы каждый раз не дергать хелперов, самому научиться составлять простейшие скрипты...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfashtg', 4); StopService('zxsderfbukjfyshlhdfrstdzhdfashtg'); QuarantineFile('G:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('D:\x.com',''); QuarantineFile('D:\0hct8ybw.bat',''); QuarantineFile('C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download\fpsetup.exe',''); QuarantineFile('C:\x.com',''); QuarantineFile('C:\d6fagcs8.cmd',''); QuarantineFile('C:\0hct8ybw.bat',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\system32\amvo1.dll',''); DeleteFile('C:\WINDOWS\system32\amvo1.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\0hct8ybw.bat'); DeleteFile('C:\d6fagcs8.cmd'); DeleteFile('C:\x.com'); DeleteFile('D:\0hct8ybw.bat'); DeleteFile('D:\x.com'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('G:\autorun.inf'); DeleteService('zxsderfbukjfyshlhdfrstdzhdfashtg'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18057
Добавлено через 36 секунд
Повторите логи
Добавлено через 35 секунд
G: - это флешка?
Последний раз редактировалось akoK; 14.02.2008 в 18:46. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Выполнил скрипт, логи прислал. вирусню в опере темпорари загрузках нашел... точнее подозрение. да Ж это флешка, решил ее тож почистить... хотяб на время будет без вирусни =)
А стесняюсь спросить, а куда вы логи послали? Как долго они будут возвращаться из ТОГО места?
Добавлено через 1 минуту
Это поможет немного обезопаситься от авторанов
http://virusinfo.info/showthread.php?t=16459
Последний раз редактировалось akoK; 14.02.2008 в 21:40. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
А карантин загружали или он в том же месте где и логи
Логи отсылал по сылке приложенной выше. счас прицеплю по простецки, к посту =) Сейчас по ссылке на самом верху тыркаю карантинчик.
C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download \fpsetup.exe not-a-virus:AdToll.Win32.TMAagent.i
выполните скрипт ....
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download\fpsetup.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
По логам кажется все ок, пока спасибо что помогли =)
пока пожалуйста ... думаю что с таким отношением к безопасности ... до скорой встречи ...Сообщение от Вух
Я уже много раз говорил, у мну вся эта зараза идет с флешки, которую периодически нун втыкать в институтский комп. А сам я белый и пушистый =)
Большое спасибо. Я уже просто врубал программу ТвикУи, но флешка все равно автораннулась... =/
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 37
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286)
- c:\\documents and settings\\vuh\\application data\\opera\\opera\\profile\\cache4\\temporary_dow nload\\fpsetup.exe - not-a-virus:WebToolbar.Win32.TMAagent.i
- c:\\d6fagcs8.cmd - Trojan-GameThief.Win32.OnLineGames.ypa (DrWEB: Trojan.MulDrop.6474)
- c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.MulDrop.6474)
- c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.PWS.Wsgame.2387)
- c:\\x.com - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.MulDrop.6474)
- c:\\0hct8ybw.bat - Trojan-GameThief.Win32.OnLineGames.ypa (DrWEB: Trojan.MulDrop.6474)
- d:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286)
- d:\\x.com - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.MulDrop.6474)
- d:\\0hct8ybw.bat - Trojan-GameThief.Win32.OnLineGames.ypa (DrWEB: Trojan.MulDrop.6474)
- g:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286)
Уважаемый(ая) Вух, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
