Здравствуйте. Symantec умер, не выдержал напора. Вирус успел определить как Hacktool.Rootkit. На дисках создается файл "autorun.inf" и что-то типа "dyw8shs.bat". Выкладываю логи.
PS. Приятно удивлен безвозмедной помощью, спасибо VirusInfo.
Printable View
Здравствуйте. Symantec умер, не выдержал напора. Вирус успел определить как Hacktool.Rootkit. На дисках создается файл "autorun.inf" и что-то типа "dyw8shs.bat". Выкладываю логи.
PS. Приятно удивлен безвозмедной помощью, спасибо VirusInfo.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\ODMA32.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
Спасибо, вирус больше не распространяется на дисках.
Закачал файл virus.zip. Выкладываю логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\STASHE~1\LOCALS~1\Temp\QPLS.exe','');
QuarantineFile('C:\DOCUME~1\STASHE~1\LOCALS~1\Temp\MYDIXEFOL.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.
Все остальные флешки всех видов надо тоже проверить на наличие autorun.inf
Особенно вот эти:
g:\ REMOTE Full size - 614398 Mb, Free size - 1206 Mb, File system - NTFS
k:\ REMOTE Full size - 70005 Mb, Free size - 60640 Mb, File system - NTFS
s:\ REMOTE Full size - 70005 Mb, Free size - 60640 Mb, File system - NTFS
z:\ REMOTE Full size - 614398 Mb, Free size - 1206 Mb, File system - NTFS
Maxim, благодарю!
PavelA, g, k, s, z - это сетевые диски. Они подключались как "\\Exchange\Work", "\\Exchange\Soft" и т.п. Визуально файлов autorun.inf не наблюдал там. Как нибудь их можно проверить?
[b]terminator2[/b], Вы выполняли скрипт от [b]Maxim[/b] из поста №4? Где карантин после его выполнения?
[QUOTE=terminator2;199096]Maxim, благодарю!
PavelA, g, k, s, z - это сетевые диски. Они подключались как "\\Exchange\Work", "\\Exchange\Soft" и т.п. Визуально файлов autorun.inf не наблюдал там. Как нибудь их можно проверить?[/QUOTE]
Через AVZ поискать, самый правильный способ. Сначала для порядка выполнить станд.скрипт №2
[QUOTE=wise-wistful;199128][b]terminator2[/b], Вы выполняли скрипт от [b]Maxim[/b] из поста №4? Где карантин после его выполнения?[/QUOTE]
Да, выполнил скрипт, в карантин закачал virus.zip. Компьютер на работе, поэтому так неспеша все.
Большое спасибо за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.cub[/B] (DrWEB: Win32.HLLW.Autoruner.1343)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rin[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.cub[/B] (DrWEB: Win32.HLLW.Autoruner.1343)[/LIST][/LIST]