u.bat

Printable View

09.01.2008, 13:24
steals

Вложений: 3

u.bat

[FONT=Arial]Доброго времени суток![/FONT]
[FONT=Arial]На всех локальных дисках созданы файлы u.bat и autorun.inf (видны через total commander), отключен показ системных и скрытых файлов. При попытке поменять состояния флага ничего не происходит. При открытии любого локального диска он открывается в новом окне.При удалении файлов u.bat и autorun.inf они появляются снова приблизительно через 5сек.Помогите решить проблему..[/FONT]
09.01.2008, 13:31
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('PSSdk21');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','');
QuarantineFile('C:\WINDOWS\system32\KERNEL1.EXE','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system\DogHoertzel.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('H:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
09.01.2008, 13:41
akok

[B]F:\Flash\Old\vova\Others\vir.zip[/B] вы случайно не отсюда заразились?:)

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

После выполнения скрипта и отправки карантина выполнить
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Вова\Рабочий стол\SMS.EXE','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Vphone.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pci7.sys','');
QuarantineFile('C:\Program Files\S&S\DOG\dog.exe','');
QuarantineFile('C:\Program Files\S&S\DOG\PCI7Util.dll','');
QuarantineFile('c:\program files\s&s\dog\dog.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b]

p.s. vir.zip если там что нибудь новое можно тоже в карантин, а если старое и с бородой удаляйте
09.01.2008, 14:23
steals

akoK[B]F:\Flash\Old\vova\Others\vir.zip[/B] вы случайно не отсюда заразились?
Нет, там лежит 14 файлов autorun.*, лежат уже около 2 месяцев. Раз уж про этот архив появился вопрос, скажите, могут ли вирусы будучи запакованы в архив активироватся?

[B]Maxim[/B]
Я пользуюсь интернетом через телефон, архив который мне нужно Вам прислать имеет размер 11мб, если смысл его присылать если компьютер после Вашего скрипта начал работать (глюков нет, работа стабильная)?
09.01.2008, 14:25
Макcим

[QUOTE=steals;169336][B]Maxim[/B]
Я пользуюсь интернетом через телефон, архив который мне нужно Вам прислать имеет размер 11мб, если смысл его присылать если компьютер после Вашего скрипта начал работать (глюков нет, работа стабильная)?[/QUOTE]Т.е. возможности прислать его нам нет ни какой? Вам он собственно говоря не нужен, а вот нам очень бы пригодился :dry:
09.01.2008, 14:50
steals

[quote=Maxim;169337]Т.е. возможности прислать его нам нет ни какой? [/quote]
Возможность есть всегда. Спасибо и на словах и на "Кнопочку" за оперативность. Выложу архив ближе к вечеру. Кстати Dog это запись телефонных разговоров ;) неужеле она Вам тоже нада?

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

А можно ли узнать что это был за вирус и что он мог мне сделать???
09.01.2008, 14:54
Макcим

[QUOTE=steals;169341]А можно ли узнать что это был за вирус и что он мог мне сделать???[/QUOTE]Конечно, как только посмотрим карантин. :wink_3:
09.01.2008, 15:01
akok

[QUOTE]Кстати Dog это запись телефонных разговоров неужеле она Вам тоже нада?[/QUOTE]

Ну если вы [B]абсолютно[/B] уверенны в этой программе то оставьте себе:)

[QUOTE]Нет, там лежит 14 файлов autorun.*, лежат уже около 2 месяцев. Раз уж про этот архив появился вопрос, скажите, могут ли вирусы будучи запакованы в архив активироватся?[/QUOTE]

Если архив запаролен и не sfx то нет

А зачем архив с вредоносными программами а?:tongue:(это риторический вопрос ответ и мы сами знаем:))
09.01.2008, 15:04
steals

Все отослал) 080109_060340_virus_4784b81cd4ab1.zip
09.01.2008, 15:14
akok

[B]Trojan-PSW.Win32.OnLineGames.nij[/B]

Меняйте пароли на онлайн играх
09.01.2008, 15:24
steals

Пароли сменил. А что можете посоветовать на будушее? Стоит NOD32 (обновление от 09.01.2008) и Outpost Firewall Pro ver. 3.51.759.6511 (462) как так получилось что нод не нашол этот вирус???Может стоит сменить антивирус, если да, то на какой??
09.01.2008, 15:25
Макcим

Вы логи вначале сделайте повторные, может ещё осталось чего...
09.01.2008, 15:32
akok

тогда вам сюда
[url]http://virusinfo.info/forumdisplay.php?f=39[/url]
09.01.2008, 15:47
steals

Вложений: 3

Вот повторные логи!
09.01.2008, 16:23
akok

autorun.inf - [B]Worm.Win32.AutoRun.bnq[/B]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

т.к. мне карантин не отправили
то отправьте по правилам
[B]C:\WINDOWS\system32\drivers\pci7.sys[/B]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

или скриптом
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\pci7.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
22.02.2009, 03:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.bnq[/B] (DrWEB: Win32.HLLW.Autoruner.1282)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.ngm[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.nij[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.bnq[/B] (DrWEB: Win32.HLLW.Autoruner.1282)[*] e:\\autorun.inf - [B]Worm.Win32.AutoRun.bnq[/B] (DrWEB: Win32.HLLW.Autoruner.1282)[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.bnq[/B] (DrWEB: Win32.HLLW.Autoruner.1282)[*] h:\\autorun.inf - [B]Worm.Win32.AutoRun.bnq[/B] (DrWEB: Win32.HLLW.Autoruner.1282)[/LIST][/LIST]