-
Junior Member
- Вес репутации
- 49
Не могу избавиться от вируса.
Добрый день. Имеется 2 пк на обоих NOD32x4 с постоянным обновлением. Такая ситуация - берём чистую флешку вставляем в ПК №1 и вытаскиваем сразу после определения виндой флешки. Теперь вставляем эту флешку в ПК №2 ---- при подключении флешки NOD32 сразу находит--- 11.01.2011 11:26:58 Защита в режиме реального времени файл F:\FANFAN\partis.exe модифицированный Win32/Kryptik.HSQ троянская программа очищен удалением - изолирован SURIKAD\User Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe. Теперь на пустой флешки появляется скрытая папка FANFAN (пустая) и в корне autorun.inf (который не распознается как вирус), вытаскиваем флешку и возвращаемся в ПК №1 autorun.inf при этом обнаруживается и удаляется чего не сделала ПК №2, но теперь флешка сного инфицирована другим вирусом, и так продолжается по кругу. AVZ4 с последними базами ничего на обнаружил. В автозагрузки через AVZ ничего подозрительного тоже не нашел. Вот команда с autorun.inf ----<fwqjRкДФАЛЧКФЋЧАЛОФПШЊЉФњјачјфЊАЧКФЧнвгкѕнјвфАСКЛ ЧКфПОЧКФПШОЧЊКЉФПШЊЧКФЊОПРПШЊЉДЈФАСИККЈФЧАФклk??FS ALP??FKWJM?FLFP?WKmf?OWklfPW??QGKF?WLOgKWQдЗЭАФЫХЭ АЗЦЛЭДЩЦЙУКЗЙЩХЪЛЦФЫЩЖалыфдтчяьмиялчдФЖЛАЗХЦЙЩЗХЦЙ ШАКЕФЦАЭЗЖфцвлбжфцдщптолжыфталДьомФЫДЖЛАДЖФЫтаоФЫЛ ЖмстфылджвлджвлхцйкшцзхшкцщпгешщфышшщатоыЛДМтьоФЫЛ ЖМЬОФЫЖЛДЩАШЛАцйщаЦАоЦШЙАОФЩЖПРОцшпрцшФоаЦ
[autorun]
shell\\Install\\command=FANFAN\\partis.exe
shell\\open\\command=FANFAN\\partis.exe
shell\\explore\\command=FANFAN\\partis.exe
Shell\\open\\command=FANFAN\\partis.exe
useautoplay=1
shellexecute=FANFAN\\partis.exe
open=FANFAN\partis.exe
action=Open folder to view files
icon=shell32.dll,4
Вот такая вот фигня. Может кто сталкивался с этим? надеюсь на помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Так может все таки прочитав "Правила" в раздел "Помогите" с этим вопросом!
Последний раз редактировалось olejah; 11.01.2011 в 12:38.
Причина: Прикрутил ссылки на всякий случай
-
-
Junior Member
- Вес репутации
- 49
Последний раз редактировалось Ramir; 11.01.2011 в 14:35.
-
Junior Member
- Вес репутации
- 49
HiJackThis
Вложение 293872
Доктор Веб ничего не обнаружил.
Последний раз редактировалось Ramir; 13.01.2011 в 12:03.
-
Junior Member
- Вес репутации
- 49
Последний раз редактировалось Ramir; 13.01.2011 в 12:03.
-
нужны еще логи virusinfo_syscure.zip и virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 49
Последний раз редактировалось Ramir; 13.01.2011 в 12:04.
-
1.Профиксите в HijackThis
Код:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
2.Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log) с подключенной флешкой
- Сделайте лог MBAM
Добавлено через 5 минут
еще сделайте логи со второй машины и прикрепите их к новой теме
Последний раз редактировалось polword; 13.01.2011 в 11:12.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 49
Вложение 294046 Вложение 294047
Пока не помогло. MBAM щас в процессе сканирования.
-
Junior Member
- Вес репутации
- 49
-
Junior Member
- Вес репутации
- 49
Вложение 294050
2 кряка в тотеле это стандартная ситуация)) а вот длаьше что он нашел это стоит удалить или прога ошибается?
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\WINDOWS\system32\ijl11pro.DLL ','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 49
Все сделал, всё отправил. уже удалили этот файл и почистил всё что нашла эта программа. Я наверно винду переустановлю, больше вариантов не вижу.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-