Ребят помогите вирус делает на флешке ярлик и скидывает туда все файлы
Printable View
Ребят помогите вирус делает на флешке ярлик и скидывает туда все файлы
Уважаемый(ая) [B]Игорь Лесик[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
1. [B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccteauwfv.pif','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccteauwfv.pif','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','5979');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
3. [B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [5979] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccteauwfv.pif
[/CODE]
4. [B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если вы самостаятельно не вносили изменения в Hosts файл.
[CODE]
O1 - Hosts: 46.4.253.148 sm1.setmaster.pro
O1 - Hosts: 46.4.253.148 ms.magesy.ru
O1 - Hosts: 46.4.253.148 sm2.setmaster.pro
O1 - Hosts: 46.4.253.148 valve-master-server.com
O1 - Hosts: 46.4.253.148 ms.cs-servera.net
O1 - Hosts: 46.4.253.148 ms.moncs.ru
O1 - Hosts: 46.4.253.148 ms.turbo-boost.ru
O1 - Hosts: 46.4.253.148 ms.extraboost.ru
O1 - Hosts: 46.4.253.148 ms.presstoplay.ru
O1 - Hosts: 46.4.253.148 ms.cs-monitor.ru
O1 - Hosts: 46.4.253.148 ms.totalrank.net
O1 - Hosts: 46.4.253.148 css.setti.info
O1 - Hosts: 46.4.253.148 ro.setmaster.net
O1 - Hosts: 46.4.253.148 mon.cstr1ke-servers.ru
O1 - Hosts: 46.4.253.148 ms.ms-cs.ru
O1 - Hosts: 46.4.253.148 ms1.msboost.ru
O1 - Hosts: 46.4.253.148 ms2.msboost.ru
O1 - Hosts: 46.4.253.148 ms3.msboost.ru
O1 - Hosts: 46.4.253.148 ms1.openid-ms.ru
O1 - Hosts: 46.4.253.148 ms2.openid-ms.ru
O1 - Hosts: 46.4.253.148 ms1.strikes.ru
O1 - Hosts: 46.4.253.148 ms2.strikes.ru
O1 - Hosts: 46.4.253.148 ms3.strikes.ru
O1 - Hosts: 46.4.253.148 ms1.cs-exes.ru
O1 - Hosts: 46.4.253.148 ms2.cs-exes.ru
O1 - Hosts: 46.4.253.148 ms.a114.ru
O1 - Hosts: 46.4.253.148 ms1.aqbv.ru
O1 - Hosts: 46.4.253.148 ms2.aqbv.ru
O1 - Hosts: 46.4.253.148 1.masterserver.su
O1 - Hosts: 46.4.253.148 2.masterserver.su
O1 - Hosts: 46.4.253.148 ms.megafrag.ru
O1 - Hosts: 46.4.253.148 cyber-monitoring.ru
O1 - Hosts: 46.4.253.148 ms.cyber-monitoring.ru
[/CODE]
5. Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Все зделал
Карантин загрузил на всякий случай и тута выложил.
1. Запустите редактор реестра, [URL="http://safezone.cc/forum/showthread.php?t=19701"]верните[/URL] права на ветку [B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run[/B] и удалите параметр [B]5979[/B]
2. Карантин я не просил на форуме выкладывать
3. Эту [B]C:\Program Files\total commander podarok edition\programm\[COLOR="#000080"]mpr[/COLOR][/B] программу сами себе устанавливали?
4. Сделайте новый лог HiJackThis
ок все зделал
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
C:\Program Files\total commander podarok edition\programm\mpr эта програма стала вместе з total commander podarok edition
Я правильно понял устанавливали ее самостоятельно? Просто на драйвер [B]C:\Program Files\total commander podarok edition\programm\mpr\mpr_freader.sys[/B] есть детект [B]not-a-virus PSWTool.Win32.MPR.015 [/B]
Если нада удалить этот файл то я удалю. это какойто компонент тотала которым я врятли пользуюсь
Удалять?
Файл вирусом не является, но его лучше удалить так как по детекту это какая-то ломалка паролей. Что с основной проблемой?
Все окей проблема убралась. Спасиба.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\total commander podarok edition\\programm\\mpr\\mpr_freader.sys - [B]not-a-virus:PSWTool.Win32.MPR.015[/B] ( DrWEB: Tool.PassView.27 )[/LIST][/LIST]