-
Junior Member
- Вес репутации
- 51
Подозрение на вирус. Неудаляемый файл на флешке.
Здравствуйте. Принес зараженную флешку, аваст вирус не определил.
Но при этом, на любой флешке записываются autorun, который я не могу удалить вручную (пишет, что файл используется другим приложением, соответственно форматировать тоже не хочет) и папка SVABICE со значком "корзины". В папке 2 файла: zabice.exe и desktop.ini.
Проверил все Авастом, ничего не нашел, потом прогнал AVPTool, тоже ничего.
Помогите пожалуйста разобраться.
Файлы логов AVZ и HJT прилагаюся
Забыл сказать: когда выполнял скрипты, флешку из компа вытащил
Последний раз редактировалось Ржанников Андрей; 24.04.2010 в 17:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\setup.exe','');
DeleteFile('C:\Documents and Settings\User\csrss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин прислать по Правилам.
Логи повторить после перезагрузки с подключенной флешкой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Прошу прощения, в скором времени все пришлю. Но возникает вопрос: если флешка идет под буковкой "F:" нужно ли изменить в скрипте:
QuarantineFile('E:\setup.exe','');
на
QuarantineFile('F:\setup.exe',''); или на QuarantineFile('F:\autorun.inf','');
Выполнил скрипт, в карантине лежит C:\Documents and Settings\User\csrss.exe, отправляю его.
Последний раз редактировалось Ржанников Андрей; 24.04.2010 в 19:25.
-
Junior Member
- Вес репутации
- 51
Файлы логов при включенной флешке
-
Выполните скрипт в AVZ с подключенной флешкой
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\SVABICE\\\\\ZABICE.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\SVABICE\\\\\ZABICE.exe');
DeleteFileMask('F:\SVABICE', '*.*', true);
DeleteDirectory('F:\SVABICE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи с подключенной флешкой
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Флешка очистилась! Отлично! И огромное спасибо.
Выкладываю логи.
Может глупый вопрос, но все же: у меня вторая флешка тоже заражена этой заразой, что с ней делать?
-
Сообщение от
Ржанников Андрей
у меня вторая флешка тоже заражена этой заразой, что с ней делать?
Если имя папки и файла такое же, просто удалите. Вместе с файлом autorun.inf
Только папка (или файл в ней) будет скрытой скорее всего. Потому установите отображение скрытых файлов или воспользуйтесь файловым менеджером типа Total Commander, Far
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Все прочистил.
Еще раз огромное спасибо!
-
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\csrss.exe - P2P-Worm.Win32.Palevo.aeap ( DrWEB: Trojan.Siggen1.24150 )
- f:\svabice\\\\\zabice.exe - P2P-Worm.Win32.Palevo.aeap ( DrWEB: Trojan.Siggen1.24150 )
- f:\svabice\\\zabice.exe - P2P-Worm.Win32.Palevo.aeap ( DrWEB: Trojan.Siggen1.24150 )
- f:\svabice\\zabice.exe - P2P-Worm.Win32.Palevo.aeap ( DrWEB: Trojan.Siggen1.24150 )
-