-
Junior Member
- Вес репутации
- 56
Новый вирус?
Знакомые принесли зараженный ноутбук.
Там было несколько вирусов, от которых удалось избавиться: Backdoor IRC Sdbot 4536, Trojan Muldrop 30059.
Но остался как минимум один, от которого свежими антивирусами избавиться не получается.
Признаки - немедленно записывает на флешку autorun.inf и в скрытую папку recycler - выполняемый файл размером ~600k. Свежий avz и cureit на другом,чистом компьютере то, что записано на флешке, не распознают как вирус. На всякий случай проверил то же самое под livecd - результат тот же.
При загрузке с livecd на зараженнном компьютере ни avz ни cureit (свежие) ничего не находят.
Сам вирус или его часть есть в такой же папке recycler как на флешке. Антивирусы его там не определяют.
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 56
После скрипта флешка перестала заражаться
Карантин приаттачен, логи вот
virusinfo_syscheck.zip
virusinfo_syscure.zip
-
Выполните скрипт
Код:
begin
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Логи в порядке.
-
-
Junior Member
- Вес репутации
- 56
Упс, еще один лог забыл
hijackthis.log
-
Junior Member
- Вес репутации
- 56
Спасибо большое за помощь!
Это все-таки был новый вирус?
-
Пока так: HEUR:Trojan.Win32.Invader
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\k-1-3542-4232123213-7676767-8888886\root.exe - Worm.Win32.AutoRun.ewp
-