Показано с 1 по 13 из 13.

Не удалось окончательно удалить вирусы Autorun и csrsc (заявка № 87290)

  1. #1
    Junior Member Репутация
    Регистрация
    06.09.2010
    Сообщений
    34
    Вес репутации
    23

    Не удалось окончательно удалить вирусы Autorun и csrsc

    Ситуация такая попал ко мне через флешку вирус Autorun, я его удалил утилитой Anti-autorun c сайта http://www.bombina.com/s3_anti_autorun.htm. Потом на всякий случай просканировал комп утилитами AVPTool и Dr. Web CureIt! они нашли еще csrsc.exe который я тоже удалил, потом почистил все ветки в реестре с упоминанием его имени.
    Но дело в том что остатки вируса еще где то окопались. У меня был антивирус Нод 32 старая версия помоему 2.7, так вот он переодически предупреждал на диске с создан файл то Odnaoo.exe то еще какой то выдавал строку Win32/Packed.Autoit.Gen после Gen была еще какая то буква но уже не помню. Но таких файлов на диске не было, зато появлялись 2 файла Autorun.Inf и пустой системный файл khy, в следствие чего диск открывался только через проводник, я их ручками удаляю потом презагружаюсь и все в порядке, до следующего раза, появляються эти файлы то каждый день то раз в 2-3 дня. Так как нод у меня был устаревший триальный срок давно закончился, антивирусные базы давно не обновлялись, я скачал лицензионную последнию версию Нода 4.2 Так он даже не выдает предупреждения когда создаються эти файлы
    Autorun.Inf и khy, в связи с чем у меня вопрос, хотя конечно может и не в тему, почему новый антивирус не реагирует на угрозу как старая версия?
    И еще вопрос по вложениям, я когда запускал АВЗ то следовал строго инструкции, и он начинал сканировать только диск С, а у меня в системе еще логический диск D, может мне повторно загрузить сканирование включив его или это не требуется?
    Ну и на всякий случай прикреплю файл Autorun.inf
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Сделайте лог МВАМ

  4. #3
    Junior Member Репутация
    Регистрация
    06.09.2010
    Сообщений
    34
    Вес репутации
    23
    Ну и прога даже Wintools под вирус записал
    Проверил все файлы http://www.virscan.org/ почти ни чего не нашел.
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,513
    Вес репутации
    2915
    Цитата Сообщение от xanxan Посмотреть сообщение
    Ну и прога даже Wintools под вирус записал
    Всего лишь жалоба на мультиупаковку

    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
    C:\Program Files\windv (Adware.WinDV) -> No action taken.
    C:\WINDOWS\system32\0F6226 (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\76682F (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\ACF7EF (Worm.AutoRun) -> No action taken.
    
    Зараженные файлы:
    C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
    C:\WINDOWS\system32\0F6226\25cb67ff.txt (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\0F6226\3f6f809d.txt (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\76682F\670df5.txt (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\76682F\6a0d8f.txt (Worm.AutoRun) -> No action taken.
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    06.09.2010
    Сообщений
    34
    Вес репутации
    23
    С МБАМ чуток непонятки вышли. После первого сканирования я нажал "Игнорировать" когда хотел удалить файлы при повторном сканировании ни чего не нашло, наверное надо было удалить логи из карантина, и запустить скан заново, но я не разобравшись просто переустановил МБАМ, но при повторном сканировании он не определил часть файлов обнаруженных при первом сканировании. В итоге я удалил в ручную файл windv хотя на http://www.virscan.org Вирускане его не распознал как вирус не один из антивирусов, и вручную удалил подветку реестра amty из каталога DRM но сам DRM оставил, может его тоже нужно удалить? на всякий случаем перед удалением, экспортировал всю ветку DRM.
    Прикреплю 2 лога МБАМ с повторным сканированием когда он не обнаружил часть файлов, и пофиксенный лог, а также лог Вирускана и Комбофикса.
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,513
    Вес репутации
    2915
    Что сейчас с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    06.09.2010
    Сообщений
    34
    Вес репутации
    23
    Ну проблема проявляется спонтанно, надо дня 3 подождать для профилактики, но как раз перед фиксом МБАМ и Комбофиксом, файл ауторан опять появился.
    И если не трудно скажите кратко что изменил в системе Комбофикс, по логам не могу понять. В папке карантин лежит файл C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\SecTaskMan\_entreelist.dll.vir
    Тоесть он удалил только этот файл? Также в карантине лежит папка Registry_backups там 4 файла с расширениями reg.dat в одном из них контрольная панель NVIDIA в ней то он что плохово усмотрел, это файлы фикса реестра? Еще заметил что он отключил виртуальный СД но это не страшно. Просто хочется понять, что он изменил в системных файлах, не будет ли потом проблем с системой и запуском каких либо приложений?

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,513
    Вес репутации
    2915
    Все легитимное можно восстановить в ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    06.09.2010
    Сообщений
    34
    Вес репутации
    23
    В теме пишется посоветоватся с хелпером, хотелось бы посоветовать с вами, как восстановить все пофиксенное? Там вроде один файл, и 4 фикса реестра, и еще рег файл tcpip.reg думаю там тоже фиксы. Заподозренный файл _entreelist.dll.vir я по отдельности загрузил к 5 антивирусам, все сказали что файл чист. Что посоветуете, восстанавливать или прислать к вам файлы на анализ?

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,513
    Вес репутации
    2915
    Восстанавливайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    06.09.2010
    Сообщений
    34
    Вес репутации
    23
    Ребята спасибо 5 дней прошло, похоже МВАМ добил вирус, но последний вопрос, я для чистоты эксперимента не восстанавливал комбофикс, но вчера восстановил 4 рег файла хранящихся в карантине, потом решил восстановить виртуальный диск, но Алкоголь выдавал ошибку, после восстановил файл tcpip.reg также хранящийся в карантине, но и это не помогло, в итоге пришлось переустанавливать Алкоголь, так у меня такой вопрос что кроме Алкоголя еще пофиксил комбофикс не отразив это в карантинном логе, может позже обнаружится что еще какие нибудь программы не работают?

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,513
    Вес репутации
    2915
    Работа виртуальных приводов должна была восстановиться после удаления ComboFix

    Чтобы узнать, что еще мог пофиксить ComboFix, загляните в папку карантина

    Удалите ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    06.09.2010
    Сообщений
    34
    Вес репутации
    23
    Понятно удалил Комбофикс, а насчет привода уже не проверить так как переустановил Алкоголь.
    В теме про удаление комбофикса можно дописать, что бы отключали антивирусы, ну и добавить о принудительной перезагрузке, а то у меня много файлов закрылось, не ждал перезагрузки.

  • Уважаемый(ая) xanxan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Инет вырубился окончательно
      От craftix в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.02.2010, 02:41
    2. Ответов: 4
      Последнее сообщение: 26.12.2009, 06:20
    3. Украина осталась без 3G. Окончательно
      От ALEX(XX) в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 27.11.2009, 17:48
    4. немогу удалить csrsc.exe
      От SIN в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.04.2009, 22:30
    5. Защиту Blu-ray окончательно взломали
      От ALEX(XX) в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 21.03.2008, 20:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00944 seconds with 21 queries