Машина не моя, посему не могу судить сколько вирусов и какие проблемы могли возникать в ходе работы за данным компом. На системе стоит Др.Веб 4.44, если не ошибаюсь. но видимо он не сильно помогает в ловле вирусов.
На диске С есть скрытая папка С, NEXT и MEMORY. При подключении съёмных устройств ( в логах оно одно - К:\ ) на них автоматом создаются авторан, и две скрытые папки NEXT и MEMORY. Флешку чистил на своём компе с помощью АВЗ. Всё удалил. Проверил на другом компе - чисто. Вставил в этот - появились папки и авторан. Смею предположить что это вирус на компьютере.
Машина очень медленная. даже при небольшом объёме диска - суммарно не больше 40 Гб скан сбора информации/лечения занимает порядка получаса, так что по возможности - прощу избежать повторного сканирования.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети. - Антивирус и Файрволл. - Системное восстановление. Выполните скрипт AVZ:
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Обновите базы AVZ!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Добавлено через 2 минуты
А на счёт повторного сканирования: Вы нарушили Правила получения логов (отключить восстановление системы и обновить базы). Как мы можем Вам помочь, если Вы не следуете указаниям?
Повторное сканирование - стандартная процедура, чтобы убедиться, что зараза удалена. Иной раз бывает, что сканировать приходится несколько раз в случае трудно убиваемой заразы. Так что запаситесь терпением, а мы постараемся не гонять Вас лишний раз.
Последний раз редактировалось gjf; 26.06.2009 в 18:40.
Причина: Добавлено
хорошо, постараюсь впредь следовать инструкциям. про восстановление - честно забыл) базы обновил.
после выполнения скрипта - скрытые папки остались. Можно ли их удалить?
Заметил ещё одну вещь - в форуме была тема про z-connect. Как оказалось оно у меня тоже присутствует. Не уверен в достоверности информации, но было сказано что комп самопроизвольно пытался соединиться через модем. Но так как на нём присутствует ещё 3 соединения через модем, то я не уверен что то было, если и было, именно соединение z-connect. Но что странно - комп соединялся просто так. ни с того ни с сего. без какого либо прикосновения к нему, если так можно сказать.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFileMask('C:\Documents and Settings\User\','*.exe',false);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Rtlnic51.sys','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Скрытые папки можете поудалять. z-connect - тоже, далите это соединение.
Учтите, что на Ваших флешках - зараза. Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.
Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.
Соединение и папки удалил. В HiJackThis пофиксил. данные в реестр занёс, но потом подумал - то есть если скажем просто игнорить автозапуск и каждый раз при вставлении флешек запускать авз и удалять с них авторан и вирусы - можно жить и с автозапуском устройств ( ну тогда правда его суть теряется, так как им всё равно не пользуешься получается ).
Скрипт не работает. Ошибка идентификатора DelFileMask 5:13
Скрипт исправил - попробуйте сейчас. И не забудьте потом про карантин.
Дело в том, что вирус на флешках при включенном автозапуске выполняется каждый раз, когда флешку вставляешь или заходишь на неё Проводником.
Если вирус новый - он не будет детектироваться антивирусом. И даже после того, как его добавят в базу при активном заражении удалить вирус может быть крайне сложно.
Поэтому я и рекомендовал отключить автозапуск. То, что какие-то демонстрационные диски или автоустановки не будут запускаться - беда малая, потому что всегда можно зайти на диск и самому запустить нужный файл. А безопасность повыситься значительно.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: