-
Junior Member
- Вес репутации
- 52
вирус на флэшке создает папку SVETEJEBLO
При подключении к компьютеру флэшки на ней буквально через несколько секунд появляется скрытая папка SVETEJEBLO в которой находится файл zeliko.exe. В корне флэшки появляется autorun.inf. На данном компьютере стоит Nod32 3 версии - реакции никакой. единственное при попытке отключения флэшки он обнаруживает авторан и удаляет его. при этом нормально флэшку извлечь нельзя - мол занята каким то другим процессом. Каких то других действий этого вируса замечено не было. Попробовал поискать в интернете что нибудь насчет этого вируса - глухо. Сделал проверку в безопасном режиме бесплатной утилитой др.Вэба - результат тот же - ничего не обнаружено. при проверке AVZ почему то не был сделан лог virusinfo_syscure.zip, запускал два раза как описано в руководстве.но создан лог virusinfo_cure.zip. Буду признателен за помощь
логи выкладываю
Вложение 215789
Вложение 215790
Последний раз редактировалось vladlen; 10.02.2010 в 01:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
диск G -это флешка, на сколько я понял?
Скрипт выполните со вставленной флешкой
1.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
//SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\SVETEJEBLO\zeliko.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6628508042-7370725219-122708488-4103\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-6628508042-7370725219-122708488-4103\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1- 3 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)
Последний раз редактировалось PavelA; 11.02.2010 в 15:16.
-
-
Junior Member
- Вес репутации
- 52
ошибка
При выполнении скрипта вылетела ошибка скрин ниже
Вложение 216089
-
попробуй выполнить скрипт. Я поправил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
после выполнения скрипта при загрузке компьютера Нод обнаружил файл авторан на флэшке и удалил его. Все та же скрытая папка на флэшке осталась вместе с содержимым. Безопасное отключение флэшки стало возможным, скрытая папка и авторановский файл после ее удаления и повторного подключения флэшки не создается. какое то время невозможно было открыть страницы интернета, пинг на www.ru не проходил.
логи и карантин выкладываю. при чем лог virusinfo_syscure.zip опять же не был сформирован
Вложение 216164
Вложение 216165
Вложение 216166
Последний раз редактировалось vladlen; 19.02.2010 в 01:12.
-
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
а отсюда удалить!!!
Добавлено через 3 минуты
В логах чисто.
поставте:
- все последние обновления системы Windows - тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Обновите Java .
- Обновите Adobe Reader.
Последний раз редактировалось polword; 15.02.2010 в 07:17.
Причина: Добавлено
-
-
Вот этот ДНС:172.25.255.10 Ваш?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Спасибо за помощь. Вот правда отключать флэшку через безопасное отключение не всегда выходит.
ДНС верен. .
помню задавал вопрос провайдеру по поводу моего ip адреса и адреса днс, ответили что они временно работают используя эти адреса
-
Пожалуйста!
Вы можете отблагодарить весь проект VirusInfo вот тут.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-6628508042-7370725219-122708488-4103\nissan.exe - P2P-Worm.Win32.Palevo.rlx ( DrWEB: Win32.HLLW.Lime.18, AVAST4: Win32:Malware-gen )
-