Подозрение на вирус

**bassevich** · 19.12.2010, 17:59

Доброго времени суток.
Есть подозрение на вирус. Нужна помощь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 19.12.2010, 21:07

Доброго времени суток.

Чтобы машина смогла проанализировать подозрительные файлы, выполните пожалуйста процедуру, описанную в первом сообщении этой темы - http://virusinfo.info/showthread.php?t=3519

Результат загрузки скопируйье сюда.

**bassevich** · 20.12.2010, 15:58

Сделал, как написано

Файл сохранён как 101220_135127_virusinfo_files_PHENOM_4d0f352f38171 .zip
Размер файла 11854364
MD5 14fb20aca748e68c4559efc4f0dd030d

Добавлено через 2 часа 5 минут

Вот ответ:
Результаты обработки
Архив 101220_135127_virusinfo_files_PHENOM_4d0f352f38171 .zip, загружен 20.12.2010 14:00:24, размер 11854364 байт
Всего файлов: 19 (исполняемых 17), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 16
В очереди на добавление в базу безопасных:
высокий приоритет: 1
обычный приоритет: 2

Дело в том, что какая-то пакость осталась.
В автозапуске находились wuauclt.exe и regedit.exe.
Местонахождение C:\Windows\system32\...
И еще копия wuauclt.exe была в папке ..\Пользователи\ИМЯ\...
В обычном режиме, не получалось отключить автозапуск этих файлов, в безопасном - получилось, они больше не запускаются, но и удалить их не получается...
Поэтому и воозникло подозрение..... может вирус где-то еще сидит.
Сканирование последним CureIt не дало результата...

**olejah** · 20.12.2010, 16:09

Сделайте лог полного сканирования МВАМ

**bassevich** · 21.12.2010, 11:12

Добрый день

лог MBAM

**Bratez** · 21.12.2010, 14:52

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 QuarantineFile('c:\Users\Ushkov\AppData\Local\Temp\0.6843923497941398.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\Windows\shuttle.exe','');
DeleteFileMask('c:\Users\Ushkov\AppData\Local\Temp', '*.*',true);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=93870).

**bassevich** · 21.12.2010, 20:23

Результат загрузки
Файл сохранён как 101221_202318_2010-12-21_4d10e286a419c.zip
Размер файла 201119
MD5 72009096944b3ca2cd4c982b43d3d2ce

**Bratez** · 22.12.2010, 03:09

Файл в карантине безвредный.
Какие-то проблемы наблюдаются?

**bassevich** · 22.12.2010, 10:43

после скана MBAM я почистил эту папку c:\Users\Ushkov\AppData\Local\Temp....
и файлик 0.6843923497941398.exe естесственно удалился...
файл G:\autorun.inf находится на флешке. Это файл созданный Panda USB Vaccine
оставался только shuttle.exe, который и попал в карантин....

Проблем пока не наблюдается...

Спасибо за помощь!

Единственное, что осталось..... это те два файла,
которые были прописаны в реестре, в RUN
regedit.exe
wuauclt.exe

как они попали в автозапуск, не знаю.... я убрал эти строки. При чем обычным способом они не удалялись, только в Безопасном режиме.
Эти файлы могут быть заражены?

**CyberHelper** · 23.12.2010, 10:43

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Подозрение на вирус (заявка № 93870)

Опции темы