-
Junior Member
- Вес репутации
- 51
Помогите! Заразил компьютер с флешки
Принес с работы флешку. Нужно было взять с нее один документ.
На флешке я сразу заметил несколько странностей например
некотрые папки были скрытые, и соответственно там же были файлы *.exe c названием как у папок.
Файлы эти я кажется не запускал. Но сделал другую глупость. Попытался установить антивирус который был на этой флешке. Открыл папку и ткнул, как мне показалось, установочный файл, и только потом заметил, что у этого файла в описании было написано, что это файл заставки и размер около 150кб. Вобщем ясно что что-то не то. После этого стали появлятся "странности" например не мог зайти на сайт kaspersky.ru, при открытии страницы загрузки Dr. Web CureIt! браузер закрывается, при попытке установить антивирус компьютер перезагружается (без завершения работы), из меню проводника "сервис" пропал пункт "свойства папки"
Пожалуста, помогите не знаю что и делать
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ!!!
Потом отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\WINDOWS\system32\АHTОMSYS19.exe','');
QuarantineFile('G:\WINDOWS\system32\drivers\lojklm.sys','');
QuarantineFile('g:\docume~1\ivan\locals~1\temp\wintnyam.exe','');
TerminateProcessByName('g:\docume~1\ivan\locals~1\temp\wintnyam.exe');
QuarantineFile('g:\docume~1\ivan\locals~1\temp\wintcar.exe','');
TerminateProcessByName('g:\docume~1\ivan\locals~1\temp\wintcar.exe');
QuarantineFile('g:\docume~1\ivan\locals~1\temp\wingjuey.exe','');
TerminateProcessByName('g:\docume~1\ivan\locals~1\temp\wingjuey.exe');
QuarantineFile('g:\windows\system32\deter177\smss.exe','');
TerminateProcessByName('g:\windows\system32\deter177\smss.exe');
QuarantineFile('g:\windows\system32\deter177\svсhоst.exe','');
TerminateProcessByName('g:\windows\system32\deter177\svсhоst.exe');
QuarantineFile('g:\windows\system32\deter177\lsass.exe','');
TerminateProcessByName('g:\windows\system32\deter177\lsass.exe');
QuarantineFile('G:\WINDOWS\system32\сtfmon.exe','');
DeleteFile('G:\WINDOWS\system32\сtfmon.exe');
SetServiceStart('aic32p', 4);
DeleteService('aic32p');
DeleteFile('g:\windows\system32\deter177\lsass.exe');
DeleteFile('g:\windows\system32\deter177\svсhоst.exe');
DeleteFile('g:\windows\system32\deter177\smss.exe');
DeleteFile('g:\docume~1\ivan\locals~1\temp\wingjuey.exe');
DeleteFile('g:\docume~1\ivan\locals~1\temp\wintcar.exe');
DeleteFile('g:\docume~1\ivan\locals~1\temp\wintnyam.exe');
DeleteFile('G:\WINDOWS\system32\drivers\lojklm.sys');
DeleteFile('G:\WINDOWS\system32\АHTОMSYS19.exe');
DeleteFile('G:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('G:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Пролечитесь от файлового вируса (Sality) - http://virusinfo.info/showthread.php?t=15927
После сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
Последний раз редактировалось DefesT; 28.04.2010 в 23:44.
-
-
Junior Member
- Вес репутации
- 51
Наконец то все выполнил. Пролечился от sality, выполнил скрипт. После этого смог установить антивирус. Антивирус что-то находит, лечит, удаляет. Но видимо обнаруживает не все, потому что блокируются некоторые сайты в том числе этот, на экране появляются ошибки даже если ничего не делаю на компьютере, интернет перестает работать. Высылаю вам новые логи с надеждой на помощь.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('G:\WINDOWS\system32\mprtsvstart.dll','');
QuarantineFile('G:\Documents and Settings\Ivan\ijj.exe','');
QuarantineFile('C:\settings.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
QuarantineFile('G:\WINDOWS\System32\Drivers\meqcnfmx.sys','');
QuarantineFile('G:\WINDOWS\system32\z\B7879.exe','');
DeleteFile('G:\WINDOWS\system32\z\B7879.exe');
DeleteFile('G:\WINDOWS\System32\Drivers\meqcnfmx.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
DeleteFile('G:\Documents and Settings\Ivan\ijj.exe');
DeleteFile('F:\autorun.inf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','settings');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteService('vsrfr');
DeleteService('meqcnfmx');
DeleteFileMask('G:\WINDOWS\system32\z', '*.*', true);
DeleteDirectory('G:\WINDOWS\system32\z');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
g:\windows\System32\ctfmon.exe восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
C:\settings.exe
Driver::
bhrbhnrf
dqbycn
NetSvc::
bhrbhnrf
dqbycn
Folder::
g:\windows\system32\D1EDE8UVHM
g:\windows\system32\8X3GN8J76C
g:\windows\system32\8TE2XRNISU
g:\windows\system32\888LF2YQY2
g:\windows\system32\8ZIUE5F6W2
g:\windows\system32\408V2KRVZC
g:\windows\system32\4Z8HRZJS9O
g:\windows\system32\46ZUHAT9MZ
g:\windows\system32\463UCMQZD0
g:\windows\system32\4WDPZ40BLB
g:\windows\system32\3UEBOJS8VN
g:\windows\system32\3BLM8GSQJE
g:\windows\system32\15HH5H2GGL
g:\windows\system32\16YA2GPFP5
g:\windows\system32\04FIULY4AU
g:\windows\system32\ZFPGYE9H13
g:\windows\system32\Z4NIK9SKSU
g:\windows\system32\ZPIEDZQNMK
g:\windows\system32\YJXN69KL9E
Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-]
"settings"=-
FileLook::
G:\WINDOWS\system32\mprtsvstart.dll
g:\windows\system32\mprtsclib.exe
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделал
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
G:\WINDOWS\system32\mprtsvstart.dll
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"MprvSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Все готово Сейчас кстати комп стал намного лучше работать, быстро и неполадок пока не замечаю.
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('g:\windows\system32\sysrotdmo.sys','');
QuarantineFile('g:\windows\system32\MsTgClient.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteFile('g:\windows\system32\MsTgClient.exe');
DeleteFile('g:\windows\system32\sysrotdmo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил. Отправляю лог
-
Порядок
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Выслал папку. Все обновил. Неужели теперь все вылечено и можно спать спокойно?
-
Намного спокойнее будет после установки обновлений для системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ну я установил sp3 и IE8. Включил автоматическое обновление, выбрал пункт "Загружать обновления, но дать пользователю возможность выбрать время установки" правда не замечаю чтобы что-то обновлялось... Может вручную как то можно?
-
Сообщение от
ka0
Может вручную как то можно?
Посетите http://update.microsoft.com
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ясно Спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 55
- В ходе лечения обнаружены вредоносные программы:
- g:\windows\system32\mstgclient.exe - Trojan.Win32.Buzus.dxff ( AVAST4: Win32:Flot-I [Trj] )
-