Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

avast! находит, но не лечит (AutoIt:Balero-A2 [Wrm]) (заявка № 53535)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27

    Thumbs up avast! находит, но не лечит (AutoIt:Balero-A2 [Wrm])

    Столкнулся с подобным случаем на вашем форуме.
    http://virusinfo.info/showthread.php?t=53067

    Антивирус находит различные файлы - экзешники (jyyaoi.exe), инфо об автозапуске (autorun.inf), файлы без расширения (khv), - но вылечить не может (к сожелению, сообщение Аваст'а не запомнил).

    Очень надеюсь на вашу помощь, заранее благодарен.

    Пост скриптум.
    Появившаяся проблема возникла сегодня днем, прежде такого замечено мной не было.
    Утром поставил драйвера на звуковую карту (скачал из сети, проверил на вирусы - было чисто). Позже стал настраивать сеть и открыл общий доступ к файлам и папкам. Собственно, тут антивирус и стал находить нечисть (ко второму компу так и не подсоединился - думаю, велика вероятность заражения).
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Алексей Владимирович\Local Settings\Temp\ShowLogo.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('E:\jyyaoi.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\SIVX32.sys','');
     QuarantineFile('C:\Program Files\common files\system\scvhost\dnetc.exe','');
     DeleteFile('E:\jyyaoi.exe');
     DeleteFile('E:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\Documents and Settings\Алексей Владимирович\Local Settings\Temp\ShowLogo.exe');
     BC_ImportDeletedList;
     ExecuteSysclean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

    Сделайте новые логи.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  4. #3
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    Карантин отправил.
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Цитата Сообщение от no_war Посмотреть сообщение
    Позже стал настраивать сеть и открыл общий доступ к файлам и папкам.
    Ключевая фраза. Предположительно в локальной сети гуляет Packed.Win32.Klone.bj

    В данных логах ничего подозрительного не увидел
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    thyrex, есть возможность его каким-либо образом "найти и обезвредить"?+)
    На данный момент общий доступ отключен.

    Аваст сейчас вирус не находит, но файлы без разрешения остались.

    Добавлено через 4 минуты

    Цитата Сообщение от no_war Посмотреть сообщение
    файлы без разрешения остались.
    Без расширения, конечно же+)
    Последний раз редактировалось no_war; 02.09.2009 в 23:12. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Надо заражённую машину в сети искать.

  8. #7
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    pig, сеть из двух компов, и заражен этот. Другой - ноут, совершенно пустой и совершенно новый.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Тогда CureIt! вам в руки. Или AVPTool. Если зараза есть, она будет найдена.

    А интернет у вас как подключён? Вполне возможно, что ваша локальная сеть на самом деле несколько больше, чем две домашние машины.

  10. #9
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    pig, в каком смысле - "как"?+) Извините, я не силен в компьютерах, так что поясните, пожалуйста+)
    Если вы про Адсл, то именно так+) Сетевыми мониторы не показывают, что идет передача\получение пакетов.

    Периодически подключаюсь к областному фтп (отдельное подключение), скачиваю чрез dc-агент. Грубо говоря - фаулообменник. За всем тем, что качаю - внимательно слежу.

    Добавлено через 4 минуты

    Цитата Сообщение от no_war Посмотреть сообщение
    Сетевыми мониторы не показывают, что идет передача\получение пакетов.
    В том смысле, что вся передача данных идет только в том случае, если я пользуюсь интернет-ресурсами.

    Пост скриптум.
    Аваст опять нашел заразу. Увы.
    Последний раз редактировалось no_war; 03.09.2009 в 00:09. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Значит,
    Цитата Сообщение от pig Посмотреть сообщение
    Тогда CureIt! вам в руки. Или AVPTool. Если зараза есть, она будет найдена.

  12. #11
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    Цитата Сообщение от thyrex Посмотреть сообщение
    Предположительно в локальной сети гуляет Packed.Win32.Klone.bj
    Забавно, имеено это и есть+)
    Сейчас проверю до конца и буду лечить.

    обнаружено: троянская программа Packed.Win32.Klone.bj
    Ну и еще червяков несколько. Как все закончится - сделаю логи и выложу.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Цитата Сообщение от no_war Посмотреть сообщение
    Забавно, имеено это и есть+)
    Поищите на какой-нибудь машине активный процесс csrcs.exe
    Он и порождает эти файлы: и те, которые нулевого размера, и автораны, и с беспорядочным именем
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    Цитата Сообщение от thyrex Посмотреть сообщение
    Поищите на какой-нибудь машине активный процесс csrcs.exe
    Таскменеджеры не нашли сего "чуда". Так же стандартный поиск на нашел данного экзешника. Возможно, есть альтернативный способ найти? Например, через реестр, или еще как-нибудь+)

    Пост скриптум.
    Да, знаю, тот еще юзверь. Но все же+)

    Пост пост скриптум.
    Через ПроцессЭксплорер видны два процесса без подписи разработчика: Interrups (Hardware Interrupts) и DPCs (Deferred Procedure Calls).
    На Ваш взгляд, вызывают ли какие-нибудь подозрения?+)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Это системное.

  16. #15
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    Через АВПТул проверил, заразу удалил.
    Думаю, что все равно осталась, так как Аваст периодически находит нечисть. К тому же автораны и нулевые файлы все так же имеются.
    Вложения Вложения

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Packed.Win32.Klone.bj - это авторанер. Распространяется по расшаренным сетевым ресурсам. Возможно, Вы его подхватываете с областного фтп. Скриптом AVZ у Вас будет отключен автозапуск

    Пофиксить в HiJack
    Код:
    F3 - REG:win.ini: run=
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    ExecuteRepair(19);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    Пофиксил, скрипт выполнил.
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    И снова, здравствуйте+)

    Опять появилась эта же проблема - Аваст ничего сделать не может.
    Новые логи прилагаются.
    Вложения Вложения

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Базы то обновлять надо!

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('D:\umgezn.exe','');
     QuarantineFile('E:\Trash','');
     QuarantineFile('C:\Program Files\Generic\USB Card Reader Driver v2.3\FlashIcon.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\SIVX32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\filter.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fixustor.sys','');
     QuarantineFile('C:\Program Files\ASTRA32\ASTRA32.sys','');
     QuarantineFile('C:\Program Files\common files\system\scvhost\dnetc.exe','');
     DeleteFile('D:\umgezn.exe');
     DeleteFile('D:\autorun.inf');
    SetAVZPMStatus(True);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Повторить логи
    The worst foe lies within the self...

  21. #20
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    16
    Вес репутации
    27
    На всякий случай почистил с КьюрИт.

    Вот логи после этой чистки.

    Сейчас выполню скрипты и выложу новые логи.
    Вложения Вложения

  • Уважаемый(ая) no_war, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. autoit: Balero-e
      От Xeromant в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.03.2011, 11:12
    2. Помогите удалить AutoIt:Balero-C и др.
      От maxon7777 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.03.2010, 14:25
    3. Логи ноута, подозрение на AutoIt:Balero-A2
      От almaz86 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 20.12.2009, 13:54
    4. AVAST [AutoIt:Balero-A [Wrm]//AutoIt:Balero-A2 [Wrm]]
      От alexandr1187 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.09.2009, 13:53
    5. AutoIt:Balero-A [Wrm]
      От fox1984 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.08.2009, 19:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01486 seconds with 23 queries