Показано с 1 по 10 из 10.

Проблема с USB Autorun вирусом (заявка № 68829)

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    5
    Вес репутации
    52

    Thumbs up Проблема с USB Autorun вирусом

    Добрый день, уважаемые!

    Имею жесткую проблему с USB Autorun вирусом на 2 машинах с XP
    При каждом подлючении флешки на ней создается файл autorun.inf и папка TAJO с файлом selma.exe.
    NOD32, DrWeb CureIT!, на этот файл молчат.
    У меня большое подозрение на файл C:\WINDOWS\System32\Drivers\spyk.sys,
    но в системе его как бы нет, и при каждой перезагрузке он изменяет имя, после 5 перезагрузок менялись последние 2 буквы (типа sprr.sys, spwt.sys).
    В безопасном режиме файлов с похожим именем в папке нет.
    Все остальное видно в логах.
    Заранее спасибо за помощь.
    Последний раз редактировалось Bratez; 26.01.2010 в 18:27. Причина: убрал лишнее вложение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\innounp.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-5199616857-3620719806-780939298-4667\nissan.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-5199616857-3620719806-780939298-4667\nissan.exe');
     DeleteFile('C:\WINDOWS\innounp.exe');
     DeleteFile('E:\autorun.inf');
    RegKeyParamDel( 'HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=68829).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    5
    Вес репутации
    52
    одну машину вылечил (2 раза пришлось скрипт прогнать), карантин выслал, (только нет там вроде ничего...)
    к сожалению, со второй машиной проблемы продолжаются, после третьего прогона все по-прежнему, висят перехватчики
    Грузился с LiveCD, файлов nissan.exe, innounp.exe, sp**.sys на диске нет.

    AVP детектирует его файл на флешке, как Trojan.Win32.Agent.dgdj, хотя по описанию действий, ничего похожего не замечено (http://www.securelist.com/ru/descrip...n32.Agent.dgdj), но этот файл антивирус как раз ловит, а вот кто его туда пишет...
    Последний раз редактировалось sera99; 27.01.2010 в 13:02.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Здесь работаем только с тем ПК, с которого логи!
    Выполнили скрипт, прислали карантин - теперь новые логи нужны.

    Для второго ПК - создайте отдельную тему с его логами.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    5
    Вес репутации
    52
    Bratez, в этой теме логи с той системы, которую не удалось вылечить
    Логи после выполнения скрипта:
    Последний раз редактировалось sera99; 28.01.2010 в 10:42.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах ничего подозрительного.

    Цитата Сообщение от sera99 Посмотреть сообщение
    sp**.sys на диске нет
    Это модули от эмулятора CD, не обращайте внмание.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    5
    Вес репутации
    52
    Bratez, спасибо, успокоил
    А от какого эмулятора, не подскажешь?
    И почему каждый раз он с разным именем?

    UPD: Удалил Alcohol 120%, козявки остались, отключил в "скрытых" устройствах "sptd", перезагрузился, все пропало, спасибо огромное
    Но все равно, зачем ему каждый раз имя менять, это же типичное поведение для вирусняков...
    Последний раз редактировалось sera99; 28.01.2010 в 16:55.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Алкоголь или Даемон Тулз. "Главный" там sptd.sys, у него имя не меняется и прописка постоянная в реестре и на диске. А эти создаются в памяти во время выполнения и на диске не хранятся.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    26.01.2010
    Сообщений
    5
    Вес репутации
    52
    Bratez, Еще раз спасибо

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. \selma.exe - Trojan.Win32.Agent.dgdj ( DrWEB: BackDoor.IRC.Sdbot.8136, BitDefender: Backdoor.SDBot.DGED, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) sera99, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблема с вирусом aUtoRuN.iNF
      От r.fadeev в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.12.2010, 19:43
    2. Ответов: 1
      Последнее сообщение: 13.04.2010, 09:00
    3. Ответов: 6
      Последнее сообщение: 23.12.2009, 23:47
    4. Ответов: 4
      Последнее сообщение: 19.03.2008, 09:42
    5. Ответов: 5
      Последнее сообщение: 03.02.2008, 17:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00423 seconds with 17 queries