-
Junior Member
- Вес репутации
- 50
Неудаляемый вирус, который переименовывается
Я обнаружил, что при подключении флешки на неё автоматически загружался файл под названием "scbatj.exe". При этом установленный антивирусник НОД32 его не видит. Файл обнаруживался при помощи Dr.Web CureIt и просматривался через програму WinRAR.
Применёнными методами я обнаружил в реестре лог с названием "scbatj.exe", который был успешно мной удалён.
Но после перезагрузки системы, на флешке при каждом подключении стали автоматически загружаться файлы с другими разными именами с разширением .ехе, а именно: zjhncl.exe, jqbwvr.exe и другие. При этом размер у этих файлов одинаковый и такой же как и у файла с именем "scbatj.exe", а именно: 496 312 кб. Так же одинаково и время создания этих файлов - 23.09.2008 14:09.
Хочу заметить, что лог с названием "scbatj.exe" в реестре уже не существовал при этом.
Кроме того, при использовании утилиты RootkitRevealer на диске D:\ была обнаружена папка, которая в двух случаях была без имени и адреса, а в третьем с адресом: D:\Илюша. Хочу уточнить, что никакого Илюши пользователя на этом компе не было никогда и данная папка никакими другими програмами не просматривается. При этом в разделе Description указанной програмы данная папка имела значение "Hidden from Windows API". В этой папке также находился целый ряд файлов, которые часто используються. При открытии данной папки путём ввода в строку поиска путя, она открылась, и было выяснено, что в ней хранились папка Windows, Program Files, и др., а также моя личная папка с рабочими файлами под названием IVAN. Я пробовал удалить файлы с данной папки, при этом они удалялись также и с тех местах, где они фактически находились.
Хочу добавить, что на компе установлены две Винды - на диске С:\ и диске D:\.
Что это может быть, я не знаю.
Добавлю, что комп подключен к локальной сети. В некоторое время локальная сеть терялась и не могла работать. Сейчас вроде всё нормально.
Я проделал всё необходимое, как указано в Правилах и инструкции, которую я отдельно скачивал..... Помогите пожалуста!!!!!! Очень не хочеться форматировать диски и ставить новую Винду - очень много важных програм стоит, которые очень долго восстанавливать....
Вот, посмотрите вложения......
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('E:\MEGA\sudbina.exe,C:\Documents and Settings\ДСА\Application Data\lbisov.exe,E:\DUSKO\svjetlana.exe,explorer.exe,C:\Documents and Settings\ДСА\Application Data\mmmpc.exe','');
QuarantineFile('E:\MEGA\sudbina.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\456.tmp','');
DeleteService('MEMSWEEP2');
QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\GTZNFUM.exe','');
QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\HNWAUUC.exe','');
QuarantineFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\IKXWTC.exe','');
DeleteService('IKXWTC');
DeleteService('HNWAUUC');
DeleteService('GTZNFUM');
DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\IKXWTC.exe');
DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\HNWAUUC.exe');
DeleteFile('C:\DOCUME~1\01C9~1\LOCALS~1\Temp\GTZNFUM.exe');
DeleteFile('C:\WINDOWS\system32\456.tmp');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('E:\MEGA\sudbina.exe,C:\Documents and Settings\ДСА\Application Data\lbisov.exe,E:\DUSKO\svjetlana.exe,explorer.exe,C:\Documents and Settings\ДСА\Application Data\mmmpc.exe');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('E:\MEGA\sudbina.exe');
DeleteFileMask('E:\MEGA', '*.*', true);
DeleteDirectory('E:\MEGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Всё сделал по Вашей инструкции по порядку.
-
Junior Member
- Вес репутации
- 50
Забыл добавить, что после проделаных операций, подозрительные файлы на флешку вроде уже не лезут!!!!!!
-
В AVZ
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\dllcache\iissync.exe','');
DeleteFile('D:\WINDOWS\system32\dllcache\iissync.exe');
QuarantineFile('C:\WINDOWS\system32\iexplore.exe','');
DeleteFile('C:\WINDOWS\system32\iexplore.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Шлём карантин.
Повторяем пункт 2 диагностики
-
-
Junior Member
- Вес репутации
- 50
Всё сделал по Вашим указаниям, но файл quarantine.zip не загружается, выходит сообщение:
Ошибка загрузки. Данный файл уже был загружен
Что делать?
Вот только файл virusinfo_syscheck.zip
-
Что с проблемами?
В логах ничего подозрительного
-
-
Junior Member
- Вес репутации
- 50
Вроде бы всё нормально, екзешные файлы на флешки вроде бы не лезут.
Только папка D:/Илюша всё ещё существует, хотя никакого пользователя с таким именем за этим компом не было. Она просто так не просматривается, даже через WinRAR. Она просматривается при помощи програмы RootkitRevealer. При этом у неё стоит значение Hidden from Windows API и дата создания подозрительная - 01.01.1601 г.
А при вводе в командную строку её путь D:/Илюша, то можно зайти в неё, при этом при входе её имя в левом верхнем углу значиться как обычная точка "."
Ответье пожилуйста, что это за папка может быть и опасна ли она? Кроме неё у меня вроде бы никаких проблем, всё в норме.....
Спасибо Вам большое за помощь, без Вас я бы не справился.....
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\csrcs.exe - Worm.Win32.AutoIt.xl ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Gen:Trojan.Heur.AutoIT.4 )
-