Printable View
Вот такая беда приключилась у моего друга.
Словил непонятно где. Самое интересное что после удаления этих файлов которые я приложу ниже. Он рассылает по дискам свое тело. Причем еще больше чем было.
Так как у него нет инета я в целях ознакомления подзаразил свою флешку и обращаюсь к Вам с такой просьбой: как излечить без форматирования винта, так как там полно инфы ценной.
все эти autorun пришлите согласно приложения 3 правил ...
Надеюсь, логи были сделаны с машины друга? У него могут быть свои болячки.
[quote=PavelA;215968]Надеюсь, логи были сделаны с машины друга? У него могут быть свои болячки.[/quote]
Нет, на моей. Я пробывал у него это сделать, но не получилось.
На половине процесса работы AVZ начинает калбасить. Выдает ошибку, а потом как в винде бумбумбум и бесконечные окна начинает открывать. Пока не кильнешь его в процессе.
В безопасном режиме не пробывал запустить.
Прилагаю тела виря :)
Внимание !!! Они не на карантине, так как AVZ их не видет и не может добавить в карантин.
autorun.bin,
Autorun.exe_,
Autorun.ico,
Autorun.ini,
autorun.txt,
autorun.wsh
Вредоносный код в файлах не обнаружен.
Вот это должно помочь:
[url]http://virusinfo.info/showthread.php?t=8877[/url]
(Хотя там речь больше о долечивании и устранении последствий, но при живом вирусе все то же самое. Только начинайте удаление autorun'ов с папки C:\Windows\system32 и делайте максимально быстро. Возможно потребуется 2-3 прохода).
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Потом логи на больной машине все-таки сделайте, может там еще что-то живет.
Спасибо. Буду пробывать. Хотя когда ручками их удаляешь, они плодятцо :(
Получилось сделать анализ в безопасном режиме.
Расчитываю на Вашу помощь....
Файлы которые обнаружил AVZ я их удалил :)
Файлы для карантина в архиве занимают 420 метров. Можно я не буду их высылать, а то с с его скоростью :(
Те файлы на которые ругнулся авз я их килл !!!
autorun.bat тоже убил? Если да, то на компьютере просто мусор мог остаться.
Если он живой, то содержимое в студию. Интересно узнать кого он вызывает.
[QUOTE=PavelA;216976]autorun.bat тоже убил? Если да, то на компьютере просто мусор мог остаться.
Если он живой, то содержимое в студию. Интересно узнать кого он вызывает.[/QUOTE]
Не его не убил :(
Просто авз дал другие подозрения типа трояна и все такое. А вот на авторан он нече не сказал. Дело втом что кроме бата там еще куча авторанов которые берутцо неизвестно откудава :(
Список авторанов что имеютцо на борту я в txt файливе выше выкладывал.
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
[QUOTE=Bratez;216386]Вот это должно помочь:
[url]http://virusinfo.info/showthread.php?t=8877[/url]
(Хотя там речь больше о долечивании и устранении последствий, но при живом вирусе все то же самое. Только начинайте удаление autorun'ов с папки C:\Windows\system32 и делайте максимально быстро. Возможно потребуется 2-3 прохода).
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Потом логи на больной машине все-таки сделайте, может там еще что-то живет.[/QUOTE]
Спасибо. Реально висел там C:\WINDOWS\system32\userinit.exe и был еще autoran.bat его я затер, так же затер в систем 32 все автораны и удалил ключ: HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2
Что мне еще сделать ?
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
>:(
Народ все сделал что описывал выше.
После перезагрузки файлы восстановились (автораны)
Ситуация такова. Диск Д - это системный, а С - просто для хлама разного.
На Д нет ничего, а вот на С все как есть так и есть - они родились заново автораны !!!
Может, занесли с флэшки? Попробуйте мой совет еще раз, +
[quote]Только начинайте удаление autorun'ов с папки C:\Windows\system32 и делайте максимально быстро. Возможно потребуется 2-3 прохода[/quote]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
А лучше поставьте себе нормальный антивирус, он прибъет активные автораны, а потом вы можете медленно-медленно подчищать остатки по моему описанию.
Или с подключенного диска из сети залетело.
Лучше всего лечится пока нет включенных флешек и расшаренных дисков из сети.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]