Показано с 1 по 8 из 8.

Win32/AutoRun.FakeAlert.M worn (заявка № 54454)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    4
    Вес репутации
    54

    Thumbs up Win32/AutoRun.FakeAlert.M worn

    На ПК появился глюк - через каждые 10 сек. стал срабатывать флоппи дисковод, затем при подключении флэшки, на ней появляется файл Autorun, при удалении снова появляется. Потом при открытии проводника срабатывает НОД и ловит вирус Win32/AutoRun.FakeAlert.M worn. Лечил Нодом, затем по вашей инструкции Сureit, AVPTool, AVZ. Непомогло.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\sdra64.exe,
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
    O4 - S-1-5-18 Startup: is-5T7U3.lnk = ? (User 'SYSTEM')
    O4 - .DEFAULT Startup: is-5T7U3.lnk = ? (User 'Default user')
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\wildday.exe','');
     QuarantineFile('C:\WINDOWS.0\Temp\rdl4C5.tmp.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6XKMM31G\589[1].exe','');
     QuarantineFile('C:\WINDOWS.0\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2NE59WD6\pin[1].exe','');
     DeleteService('assert update');
     DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     DeleteFile('C:\WINDOWS.0\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2NE59WD6\pin[1].exe');
     DeleteFile('C:\WINDOWS.0\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6XKMM31G\589[1].exe');
     DeleteFile('C:\WINDOWS.0\Temp\rdl4C5.tmp.exe');
     DeleteFile('C:\WINDOWS.0\system32\wildday.exe');
     DeleteFile('C:\WINDOWS.0\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS.0\system32\msvcrt57.dll');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('assert update');
    BC_Activate;
    ExecuteRepair(9);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
    Очистите временные папки интернета. Сделайте новые логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    4
    Вес репутации
    54
    Все сделал, логи выложил
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    что с проблемами ?

  6. #5
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    4
    Вес репутации
    54
    Да вроде нормально, больше не проявляется. А как логи? Там вроде подозрение на RootKit.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах ничего плохого ...

  8. #7
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    4
    Вес репутации
    54
    Окей. Огромное большое человеческое спасибо!!!!!!!!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Worm.Win32.Bezopi.eq ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Application.Generic.218404, AVAST4: Win32:Preald-AL [Drp] )
      2. c:\windows.0\system32\config\systemprofile\local settings\temporary internet files\content.ie5\2ne59wd6\pin[1].exe - Trojan-PSW.Win32.LdPinch.airo ( DrWEB: Trojan.PWS.LDPinch.4308, AVAST4: Win32:Preald-AL [Drp] )
      3. c:\windows.0\system32\config\systemprofile\local settings\temporary internet files\content.ie5\6xkmm31g\589[1].exe - Trojan-PSW.Win32.WebMoner.kh ( DrWEB: Trojan.PWS.Webmonier.137, AVAST4: Win32:Preald-AL [Drp] )
      4. c:\windows.0\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.kh ( DrWEB: Trojan.DownLoad.5244, AVAST4: Win32:Preald-AL [Drp] )
      5. c:\windows.0\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aaqo ( BitDefender: Gen:Trojan.Heur.Hype.AmZ@a4nJIKb, AVAST4: Win32:Fasec [Trj] )
      6. c:\windows.0\system32\wildday.exe - Backdoor.Win32.Small.iiv
      7. c:\windows.0\temp\rdl4c5.tmp.exe - Trojan-PSW.Win32.LdPinch.airo ( DrWEB: Trojan.PWS.LDPinch.4308, AVAST4: Win32:Preald-AL [Drp] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) lis_dn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/AutoRun.FakeAlert.M
      От cruel_hedgehog в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.09.2009, 01:13
    2. Win32/AutoRun.FakeAlert.M worm
      От Novell в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.09.2009, 18:16
    3. Червь Win32/autorun.FakeAlert.AF
      От Ил Владимирович в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.06.2009, 13:51
    4. Вирус Win32/AutoRun.FakeAlert.M
      От Red Fox в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.02.2009, 12:41
    5. Червь Win32/AutoRun.FakeAlert.M
      От MidasInc в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.12.2008, 17:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00574 seconds with 20 queries