-
Junior Member
- Вес репутации
- 51
Worm.Win32.AutoRun.diq
Добрый день! Словил с флешки вирус Worm.Win32.AutoRun.diq (ati2avxx.exe / mlburmh.exe). CureIt виснет при сканировании, HiJackThis не запускается, безопасный режим сбрасывается в перезагрузку. Вирус ничего плохого не делает, за исключением того, что изредка печатает что-то вроде "testtesttest" или "еуеыеуе" в поле ввода. Прошу помощи, прилагаю информацию сканирования AVZ.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ati2avxx.exe');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\mlburmh.exe','');
QuarantineFile('C:\WINDOWS\system32\IMES.dll','');
QuarantineFile('c:\windows\system32\ati2avxx.exe','');
DeleteFile('c:\windows\system32\ati2avxx.exe');
DeleteFile('C:\mlburmh.exe');
DeleteFile('C:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам, hijackthis тоже нужен!
-
-
Junior Member
- Вес репутации
- 51
Приветствую, DefesT, проверил еще раз hjackthis, ну никак не запускается, даже с заблокированным процессом вируса.
Скрипт выполнил, прилагаю логи и карантин (пароль virus).
Последний раз редактировалось Fatalko; 01.07.2010 в 00:03.
-
virus.zip - уберите из вложений
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Базы не обновили, логи переделать
Сообщение от
DefesT
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Карантин загрузите по правилам
-
-
Junior Member
- Вес репутации
- 51
Логи переделал, выкладываю, карантин прислал по форме.
-
выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(9);
RebootWindows(true);
end.
После перезагрузки сделайте лог virusinfo_syscheck.zip и попробуйте hijack
-
-
Junior Member
- Вес репутации
- 51
HiJackThis переименовал, заработало. Логфайлы ниже.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Вот они. На будущее: как отключить автозапуск с носителей и в целом защититься от такого рода вирусов?
-
Сообщение от
Fatalko
как отключить автозапуск с носителей
Он у Вас и так отключен со всех носителей
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Удалите ComboFix
FlashGet переустановите
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\autorun.inf - Worm.Win32.AutoRun.wzu ( BitDefender: Trojan.Autorun.RU, AVAST4: VBS:Malware-gen )
- c:\windows\system32\imes.dll - Trojan.Win32.Delf.fjk ( DrWEB: Win32.HLLW.Autoruner.2497, BitDefender: Trojan.Agent.Delf.JA, NOD32: Win32/AutoRun.QV worm, AVAST4: Win32:Agent-SIM [Trj] )
-