В процессе работы возникают следующие неполадки: при открытии диска запускается авторан, невозможно включить показ скрытых файлов и папок (просто нет такого пункта)
Printable View
В процессе работы возникают следующие неполадки: при открытии диска запускается авторан, невозможно включить показ скрытых файлов и папок (просто нет такого пункта)
С помощью AVZ (Сервис - Поиск файлов на диске)
найдите и добавьте в карантин файл:
[B]C:\WINDOWS\system32\Deleteme.vbs[/B]
Пришлите все содержимое карантина согласно приложению 3 правил.
файл выслала
А где же C:\WINDOWS\system32\Deleteme.vbs ? Не нашли?
Еще поищите с помощью AVZ и пришлите файл [B]ielp.exe[/B].
После этого напишу скрипт лечения.
avz пишет такое:
Ошибка карантина файла "C:\ielp.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
то же самое с deleteme.rbs
При попытке открыть диск, запускается процесс worm.exe, который потом создает файл C:\ielp.exe и запускает его, а потом еще C:\WINDOWS\system32\KEDLL.exe и тоже запускает
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\worm.exe');
DeleteFile('c:\windows\system32\deleteme.vbs');
DeleteFile('c:\ielp.exe');
DeleteFile('C:\autorun.*');
DeleteFile('C:\windows\system32\autorun.*');
DeleteFile('D:\autorun.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\Deleteme.vbs
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\[/code]
Потом выполните еще один скрипт:
[code]begin
SetAVZGuardStatus(True);
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2');
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]
(будет перезагрузка).
После этого сделайте новые логи.
C:\WINDOWS\system32\KEDLL.exe нигде не фигурирует.
Поищите его через AVZ, если найдется - пришлите по правилам.
новые логи
Диски открываются нормально, остается проблема с отображением скрытых файлов
Остались autorun.inf, остальных компонентов не видно.
Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('c:\ielp.exe');
DeleteFile('D:\ielp.exe');
DeleteFile('C:\autorun.*');
DeleteFile('C:\windows\system32\autorun.*');
DeleteFile('D:\autorun.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки включите в проводнике показ скрытых и системных файлов (пункт меню должен уже появиться) и убедитесь в отсутствии autorun.inf на C: и D:
Аккуратно проверьте все съемные носители, как описано в [URL="http://virusinfo.info/showthread.php?t=8877"]этой статье[/URL].
Если по-прежнему не удается включить показ скрытых и системных, попробуйте в AVZ: Файл - Восстановление системы - отметить п.5,6,8 - Выполнить.
Все равно просмотреть скрытые файлы невозможно. Прикладываю логи и карантин с др. машины - там те же проблемы (скорей всего с нее и пошло распространение через флешку). В карантине есть файл KEDLL.exe, ielp.exe, iehelp.exe
Карантин получился довольно большим -482кБ. Через прикрепление файлов не отправляется. Отправить его через "Прислать запрашиваемые файлы" ?
[QUOTE]Отправить его через "Прислать запрашиваемые файлы" ?[/QUOTE]
Да, [B]и только так[/B]! Но если это все о другом компьютере, надо открыть новую тему и все делать там.
По разблокировке пункта меню я сейчас поищу, где-то видел информацию, просто ключик в реестре поправить надо будет.
Так и не смог найти, как разблокировать этот флажок :(
Попробуйте импортировать в реестр вот это, флажок может и не появится, а скрытые файлы увидятся:
[code]
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"SuperHidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
[/code]
(скопировать все что в рамочке в текстовый файл и сохранить его с расширением [B].reg[/B], потом по нему двойной щелчок. Сможете?)
попробую
по скрытому файлу autorun.inf в корне каждого диска. Кроме того, все время стали появляться окна создания паспорт.net и live ID
[QUOTE]по скрытому файлу autorun.inf в корне каждого диска.[/QUOTE]
Если удалить руками - появляются снова?
[QUOTE]стали появляться окна создания паспорт.net и live ID[/QUOTE]
Уберите мессенджер из автозапуска, в его настройках либо пофиксите
[code]
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background[/code]
До сих пор "авторановые" вирусы лечились легко, а ваш прямо ну очень живучий и заковыристый ;) Если файлы появятся после удаления, то делаем перерыв, надо поискать о нем сведения.
А логи от другого компьютера вынесите все-таки в отдельную тему чтобы не путаться, там кстати зоопарк еще тот ;)