Вирус заражающий флешки.

Printable View

16.06.2011, 19:48
AlexBioz

Вирус заражающий флешки.

Здравствуйте. Подхватил вирус с флешки. Вирус заражает все вставленные в компьютер флешки. Он на все папки на флешке ставит атрибуты -скрытый -системный - архивный -только чтение. Паралельно создает ярлыки на все папки. На запуск ярлыка стоит команда

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\f4448e25.exe &&%windir%\explorer.exe %cd%Private

Так же на флешку в папку RECYCLER копируется файл f4448e25.exe.

В автозапуск каждые 10 секунд (если пробовать удалять) пытается запустится файл C:\Documents and Settings\Admin\Application Data\Mjfufg.exe файла в самой папке нет.

так же вирус блокирует доступ к сайту вирустотал и к другим сайтам антивирусной тематики.

Прикрепил сам архив с файлом f4448e25.exe в архиве RECYCLER.rar
16.06.2011, 19:51
Info_bot

Уважаемый(ая) [B]AlexBioz[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
16.06.2011, 20:11
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Hbopea.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Hxx.exe','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mjfufg.exe','');
TerminateProcessByName('c:\windows\hbopea.exe');
QuarantineFile('c:\windows\hbopea.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\hxx.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\hxx.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\hxx.exe');
DeleteFile('c:\windows\hbopea.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Mjfufg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mjfufg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Hxx.exe');
DeleteFile('C:\WINDOWS\Hbopea.exe');
DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('%windir%\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]