Показано с 1 по 16 из 16.

Зараза на флешке (заявка № 93357)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23

    Exclamation Зараза на флешке

    Здравствуйте.
    Словил какую-то бяку через флешку.
    Антивирусы не реагируют.
    Видимые симптомы:
    при подключении флешки на ней создается файл autorun.txt и некая (названия разные) скрытая папка в которой лежит один файл *.exe (в последние разы это insomnia\jkdrolja.exe). Эти папки и файлы не удаляются, однако легко выкашиваются на другом компе.
    (Полагаю, что ситуация аналогична описанной в http://virusinfo.info/showthread.php?p=738037). Скрытый файл *\Application Data\nsvb.exe также присутсвтовал - удалить его я не сумел. Через некоторое время он пропал сам, а директорией выше появился какой-то yeawl.exe с теми же свойствами.
    Жду помощи.
    Спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Здравствуйте.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\2c7a74eb.exe','');
     QuarantineFile('C:\WINDOWS\system32\3da9fe38.exe','');
     QuarantineFile('C:\WINDOWS\system32\8b7a8716.exe','');
     QuarantineFile('C:\WINDOWS\system32\97af8bee.exe','');
     QuarantineFile('C:\WINDOWS\system32\c19511ea.exe','');
     QuarantineFile('C:\WINDOWS\system32\f1a88ff.exe','');
     QuarantineFile('C:\WINDOWS\system32\fb87d6e5.exe','');
     QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
     QuarantineFile('C:\Documents and Settings\FROOD\yeawl.exe','');
     DeleteFile('C:\Documents and Settings\FROOD\yeawl.exe');   
     DeleteFileMask('C:\Documents and Settings\FROOD','*.*',true);
     DeleteDirectory('C:\Documents and Settings\FROOD');    
     DeleteFile('C:\WINDOWS\system32\rescue32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
     DeleteFile('C:\WINDOWS\system32\fb87d6e5.exe');
     DeleteFile('C:\WINDOWS\system32\f1a88ff.exe');
     DeleteFile('C:\WINDOWS\system32\c19511ea.exe');
     DeleteFile('C:\WINDOWS\system32\97af8bee.exe');
     DeleteFile('C:\WINDOWS\system32\8b7a8716.exe');
     DeleteFile('C:\WINDOWS\system32\3da9fe38.exe');
     DeleteFile('C:\WINDOWS\system32\2c7a74eb.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Прокси сами настраивали? - R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80


    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23
    что-то пошло не так. АВЗ завис. Компьютер не перезагрузился.
    Что делать? Перезагрузить принудительно?
    В окне зависшего АВЗ красным повторяется: Карантин с использованием прямого чтения - ошибка

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Перезагрузите вручную.

  6. #5
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23
    Я в панике.
    Перезагрузка после некоторого ожидания все-таки произошла.
    Но я попал в чистый рабочий стол нет моей почтовой программы. Нет ничего! Не помню ни одного пароля!
    Даже сюда вернулся просто чудом. Вспомнил таки почту и через восстановления здешнего пароля! Что делать?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Цитата Сообщение от Olejah Посмотреть сообщение
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Прокси сами настраивали? - R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80


    - Повторите логи
    Вот это

  8. #7
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23
    файла quarantine.zip в папке AVZ у меня нет. есть папка Quarantine, а в ней папка 2010-12-11.

    - Прокси я не настраивал, даже не знаю, что это за строка

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Пофиксите в hijackthis -

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80
    - Что с подготовкой новых логов, есть возможность?

  10. #9
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23
    Сейчас сделаю.
    А Мои Документы умерли навсегда?

    Добавлено через 11 минут

    Пофиксить строку R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80 не могу, ее нет в логах
    Последний раз редактировалось Wsm; 11.12.2010 в 19:25. Причина: Добавлено

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    К сожалению мною была допущена глупейшая и чудовищная ошибка - случайно в скрипт вместе с удалением вирусов попала строка удаления Ваших документов. Приношу свои глубочайшие и искренние извинения и даже не знаю как загладить свою вину, за такою оплошность.

  12. #11
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23
    Послал файл quarantine.zip

  13. #12
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23
    новые логи
    Вложения Вложения

  14. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Плохого не увидел, что с проблемой?

  15. #14
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    8
    Вес репутации
    23
    Первоначальная проблема как-то забылась.
    Теперь все мысли о том чем заполнить освободившиеся 9Гб на диске...
    Да, теперь флешка не засоряется...
    Если у меня теперь при восстановлении будут появляться технические сложности, за помощью хоть можно обращаться? И по какому каналу связи?

  16. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Ещё раз прошу прощения. Но могу Вам честно заявить - вирусы были тоже вычищены. Рекомендуется сменить все используемые пароли, так как именно этот вирус их крадёт.

    Обращайтесь. Сюда.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\frood\\yeawl.exe - Trojan.Win32.Pincav.aozt ( DrWEB: Trojan.Packed.21305, BitDefender: Gen:Heur.ManBat.1, AVAST4: Win32:AutoRun-BRS [Trj] )


  • Уважаемый(ая) Wsm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус на флешке.
      От ELENA777 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.12.2010, 15:35
    2. Вирус на флешке
      От GladDana в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.11.2010, 16:43
    3. Вирусы на флешке
      От Арсений111 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.09.2010, 21:36
    4. Вирусы в флешке
      От KEDOLFE в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.02.2010, 19:57
    5. Нечто на флешке
      От login в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.07.2009, 00:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00940 seconds with 21 queries