Показано с 1 по 13 из 13.

Помогите избавиться от Win32/AutoRun.FakeAlert.AF (заявка № 47933)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    9
    Вес репутации
    55

    Thumbs up Помогите избавиться от Win32/AutoRun.FakeAlert.AF

    10.06.2009 NOD32 обнаружил на SD фотоаппарата указанный в теме вирус. Ранее обратил внимание на дерганье флоппи-дисковода, а вчера и на отказ в назначении задания. Прошу помочь с индивидуальным скриптом. Также прошу объяснить как чистить флэшки и другие сменные носители.
    С уважением Сергей А.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Зараженный носитель подключите и оставьте подключенным до конца лечения.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - blank (file missing)
    O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - blank (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - blank (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\DOCUME~1\SERGEI~1.ALE\APPLIC~1\FieryAds\FieryAds.dll','');
     QuarantineFile('C:\Documents and Settings\Sergei A. Alekseenko\Главное меню\Программы\Автозагрузка\WCOCK32.EXE','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=47933).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    9
    Вес репутации
    55
    Спасибо за скорейшую помощь!
    Один вопрос - а носителей-то у меня не один - 5 штук... и как тут?

    Сергей А.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Поставьте хотя бы один, там посмотрим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    9
    Вес репутации
    55
    Уважаемый, Bratez!
    Приношу огромные изменения за задержку с ответом.
    Живущие в провинции меня поймут - внезапно сменился модемный пул и информация об изменениях пришла только сегодня.

    Докладываю:
    Сразу же выполнил все указанные Вами действия - эффект был налицо положительный. Исчезло стрекотание флоппи-дисковода и антивирус не видит на флэшке (которая была вставлена в процессе лечения в комп) червя. И он его не стал видеть и на других флэшках, которые не подвергались лечению такого рода, как первая.

    И, ..., самое главный интересный результат эксперимента: я открыл показ скрытого авторана на леченой флэшке и сделал двойной щелчок на его открытие и ... стрекотание флоппи-дисковода появилось, правда вирус червь не определялся.
    Тогда я выполнил повторно только скрипт и все встало в норме.
    Больше на скрытый авторан я, конечно же, не стану щелкать.
    А, вообще-то, интересно стало, кто же этого червя (или сообщение о его присутствии) моделирует и это мурзение дисковода.
    Ещё осталась одна строка имеющая отношение к навязчивому Aids, Вы её не тронули, она выше первой для удаления.
    Отправляю задержанные не по моей вине приложения.

    Еще раз огромное спасибо за помощь и чуткое внимание.
    С уважением, Сергей А.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    9
    Вес репутации
    55
    P.S. Я имел в виду строку которую Вы не указали в числе нужных для удаления,

    O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - blank (file missing)

    Нужно ли её убирать?

    Сергей А.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Пофиксите.

  9. #8
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    9
    Вес репутации
    55
    Dear pig!
    Спасибо за подключение к теме.
    Профиксил.
    Конечно же жду сообщения от Bratez...

    Сергей А.А

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах больше ничего плохого.

    С флешками будьте осторожны. Отключите автозапуск съемных носителей и поудаляйте с них скрытые автораны. Только не открывайте флешки двойным щелчком в "Моем компьютере"! Используйте левую панель Проводника или файловый менеджер типа Total Commander.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    9
    Вес репутации
    55
    Спасибо!
    Все рекомендации выполню и учту.
    А вот про эксперимент с возрождением дерганья от щелканья по безвирусному авторану так и не объяснен, жаль.

    Сергей А.А

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А что, по-вашему, сделал этот "безвирусный" авторан?
    Правильно, заразил вам систему...
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    9
    Вес репутации
    55
    Получается она не была вылечена, хотя и подключалась во время лечения.
    Теперь понятно.
    И понятно как лечить флэшки.
    Благодарствую!
    А этот агент FieryAds надоедливая штука, очень часто его приходится выкашивать, чему он очень сопротивляется.

    Сергей А.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.apwk ( DrWEB: Win32.HLLW.Autoruner.6326 )
      2. c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.gl ( DrWEB: Trojan.DownLoad.5244 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Сергей А.A, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 15.01.2010, 07:33
    2. Помогите избавиться от Win32/AutoRun.FakeAlert.M
      От Музык@нт в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.11.2009, 18:19
    3. Win32/AutoRun.FakeAlert.M
      От cruel_hedgehog в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.09.2009, 01:13
    4. Помогите избавиться от Win32/AutoRun.FakeAlert.CH
      От Музык@нт в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 09.09.2009, 15:15
    5. помогите избавиться от червя AutoRun.FakeAlert.M
      От osenne_ja в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.06.2009, 22:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01507 seconds with 18 queries