-
Junior Member
- Вес репутации
- 55
kurcina & sejo
обнаружил на флешке скрытые папки kucina и sejo. В папке kurcina скрывался файл prokleta.exe, в папке sejo тоже был какой-то exe файл, название не помню. Потом такие же папки обнаружил на винчестере. С помощью cure it ликвидировал эти папки после чего доступ к флешке пропал, однако папка kurcina так и не исчезла. Выполнил стандартные скрипты:
Последний раз редактировалось webdesigner; 22.04.2011 в 13:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('N:\autorun.inf');
DeleteFile('N:\kurcina\\prokleta.exe');
DeleteFileMask('N:\kurcina','*.*',true);
DeleteDirectory('N:\kurcina');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=92458).
Отпишитесь о проблеме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Я так понял мне нужно выполнить автокарантин ?
После выполнения вашего скрипта компьютер пошел в ребут, но винда так и не закрузилась (был черный экран). После нажатия кнопки "reset" когда винда все же загрузилась (кстати появилось окно выбора режима закрузки винды), причем она делала это необычно долго я сразу же стал проверять флешку - папка "kurcina" по прежнему была на ней!
К сожалению, не удается закачать архив с карантином на ваш сервер, поэтому загрузил на ifolder.ru:
http://ifolder.ru/20471329
-
Установите флэшку.
В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('N:\autorun.inf');
DeleteFile('N:\kurcina\prokleta.exe');
DeleteFileMask('N:\kurcina','*.*',true);
DeleteDirectory('N:\kurcina');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После перезагрузки скачайте новую версию AVZ, обновите базы и повторите логи.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 55
Как думаете, стоит проверить другие машины с которыми взаимодействовала флешка ?
-
Думаю нужно их проверить.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил, скачал новую версию AVZ, обновил базы, повторил логи:
p.s. папка kurcina с флешки исчезла!
Последний раз редактировалось webdesigner; 22.04.2011 в 13:27.
-
Похоже что чисто. Опять же:...
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 55
Сегодня пошел с флешкой в печатное агенство, вставили флешку, смотрю знакомая папка kurcina на ней, хотя ни на работе ни дома эту папку не видно!
-
Сделайте лог полного сканирования МВАМ (не забудьте вставить флешку и отметить ее в списке дисков для сканирования)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Вот посканировал, mbam кстати не увидел курчину, я ее грохнул unlocker'ом.
Последний раз редактировалось webdesigner; 22.04.2011 в 13:27.
-
Удалите в mbam :
Код:
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
Paula rhei.
Поддержать проект можно тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 54
- В ходе лечения вредоносные программы в карантинах не обнаружены
-