Здравствуйте. Symantec умер, не выдержал напора. Вирус успел определить как Hacktool.Rootkit. На дисках создается файл "autorun.inf" и что-то типа "dyw8shs.bat". Выкладываю логи.
PS. Приятно удивлен безвозмедной помощью, спасибо VirusInfo.
Здравствуйте. Symantec умер, не выдержал напора. Вирус успел определить как Hacktool.Rootkit. На дисках создается файл "autorun.inf" и что-то типа "dyw8shs.bat". Выкладываю логи.
PS. Приятно удивлен безвозмедной помощью, спасибо VirusInfo.
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\system32\ODMA32.dll',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportALL; BC_Activate; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Спасибо, вирус больше не распространяется на дисках.
Закачал файл virus.zip. Выкладываю логи.
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\STASHE~1\LOCALS~1\Temp\QPLS.exe',''); QuarantineFile('C:\DOCUME~1\STASHE~1\LOCALS~1\Temp\MYDIXEFOL.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Все остальные флешки всех видов надо тоже проверить на наличие autorun.inf
Особенно вот эти:
g:\ REMOTE Full size - 614398 Mb, Free size - 1206 Mb, File system - NTFS
k:\ REMOTE Full size - 70005 Mb, Free size - 60640 Mb, File system - NTFS
s:\ REMOTE Full size - 70005 Mb, Free size - 60640 Mb, File system - NTFS
z:\ REMOTE Full size - 614398 Mb, Free size - 1206 Mb, File system - NTFS
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Maxim, благодарю!
PavelA, g, k, s, z - это сетевые диски. Они подключались как "\\Exchange\Work", "\\Exchange\Soft" и т.п. Визуально файлов autorun.inf не наблюдал там. Как нибудь их можно проверить?
terminator2, Вы выполняли скрипт от Maxim из поста №4? Где карантин после его выполнения?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.AutoRun.cub (DrWEB: Win32.HLLW.Autoruner.1343)
- c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.rin (DrWEB: Trojan.PWS.Wsgame.2387)
- d:\\autorun.inf - Worm.Win32.AutoRun.cub (DrWEB: Win32.HLLW.Autoruner.1343)
Уважаемый(ая) terminator2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.