Вирусня в автозапуске

Printable View

14.02.2008, 18:39
Вух

Вложений: 3

Вирусня в автозапуске

И снова вирус, в автозапуске, не дает увидеть скрытые файлы. Логи прикладываю. Вопрос, возможно-ли кхм... в краткие сроки научиться составлять простейшие скрипты на удаление и карантин файлов, ну и разумеется на чтение тех логов что прикладываю ? =)

Некоторое время назад я уже обращался, подлечился, но вставив флешку принесенную из инста, новь заразился. Потому и хочу чтобы каждый раз не дергать хелперов, самому научиться составлять простейшие скрипты...
14.02.2008, 18:46
akok

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfashtg', 4);
StopService('zxsderfbukjfyshlhdfrstdzhdfashtg');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\x.com','');
QuarantineFile('D:\0hct8ybw.bat','');
QuarantineFile('C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download\fpsetup.exe','');
QuarantineFile('C:\x.com','');
QuarantineFile('C:\d6fagcs8.cmd','');
QuarantineFile('C:\0hct8ybw.bat','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\0hct8ybw.bat');
DeleteFile('C:\d6fagcs8.cmd');
DeleteFile('C:\x.com');
DeleteFile('D:\0hct8ybw.bat');
DeleteFile('D:\x.com');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteService('zxsderfbukjfyshlhdfrstdzhdfashtg');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18057[/url]

[size="1"][color="#666686"][B][I]Добавлено через 36 секунд[/I][/B][/color][/size]

Повторите логи

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

G: - это флешка?
14.02.2008, 21:29
Вух

Выполнил скрипт, логи прислал. вирусню в опере темпорари загрузках нашел... точнее подозрение. да Ж это флешка, решил ее тож почистить... хотяб на время будет без вирусни =)
14.02.2008, 21:40
akok

А стесняюсь спросить, а куда вы логи послали? Как долго они будут возвращаться из ТОГО места?:?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Это поможет немного обезопаситься от авторанов
[url]http://virusinfo.info/showthread.php?t=16459[/url]
14.02.2008, 21:40
wise-wistful

А карантин загружали или он в том же месте где и логи ;)
14.02.2008, 21:50
Вух

Вложений: 3

Логи отсылал по сылке приложенной выше. счас прицеплю по простецки, к посту =) Сейчас по ссылке на самом верху тыркаю карантинчик.
14.02.2008, 22:18
V_Bond

C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download\fpsetup.exe [B]not-a-virus:AdToll.Win32.TMAagent.i[/B]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download\fpsetup.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
15.02.2008, 20:00
Вух

По логам кажется все ок, пока спасибо что помогли =)
15.02.2008, 20:07
V_Bond

[QUOTE=Вух;188286]По логам кажется все ок, пока спасибо что помогли =)[/QUOTE]
пока пожалуйста ... думаю что с таким отношением к безопасности ... до скорой встречи ... :)
15.02.2008, 22:01
Вух

Я уже много раз говорил, у мну вся эта зараза идет с флешки, которую периодически нун втыкать в институтский комп. А сам я белый и пушистый =)
15.02.2008, 22:08
V_Bond

[URL="http://virusinfo.info/showthread.php?t=16459"]отключение автозапуска[/URL]
15.02.2008, 22:11
Вух

Большое спасибо. Я уже просто врубал программу ТвикУи, но флешка все равно автораннулась... =/
22.02.2009, 03:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]37[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.cnw[/B] (DrWEB: Win32.HLLW.Autoruner.1286)[*] c:\\documents and settings\\vuh\\application data\\opera\\opera\\profile\\cache4\\temporary_download\\fpsetup.exe - [B]not-a-virus:WebToolbar.Win32.TMAagent.i[/B][*] c:\\d6fagcs8.cmd - [B]Trojan-GameThief.Win32.OnLineGames.ypa[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.rbj[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo1.dll - [B]Trojan-GameThief.Win32.OnLineGames.rbj[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\x.com - [B]Trojan-GameThief.Win32.OnLineGames.rbj[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\0hct8ybw.bat - [B]Trojan-GameThief.Win32.OnLineGames.ypa[/B] (DrWEB: Trojan.MulDrop.6474)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.cnw[/B] (DrWEB: Win32.HLLW.Autoruner.1286)[*] d:\\x.com - [B]Trojan-GameThief.Win32.OnLineGames.rbj[/B] (DrWEB: Trojan.MulDrop.6474)[*] d:\\0hct8ybw.bat - [B]Trojan-GameThief.Win32.OnLineGames.ypa[/B] (DrWEB: Trojan.MulDrop.6474)[*] g:\\autorun.inf - [B]Worm.Win32.AutoRun.cnw[/B] (DrWEB: Win32.HLLW.Autoruner.1286)[/LIST][/LIST]