Здравствуйте помогите с удалением вируса, Касперский определяет как Worm.Win32.AutoRun.iea, dr.web как Trojan.MulDrop5.14836.
Printable View
Здравствуйте помогите с удалением вируса, Касперский определяет как Worm.Win32.AutoRun.iea, dr.web как Trojan.MulDrop5.14836.
Уважаемый(ая) [B]artem13r[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Это сетевой червь, пока не вылечите все компьютеры в локальной сети - не избавитесь.
Отключайте от сети, лечите, хоть KVRT, хоть Dr. Web, главное, не заводите снова в сеть, пока не пролечите все компьютеры.
По завершении новые логи сделайте.
Пролечил все drweb cureit live usb , но после запуска пк он опять начал создавать копии файлов формата bat,exe,pif. Лечил через разный софт. не чего не помогает. Другие ПК в сети не заражены.
До пролечивания ВСЕХ компьютеров точно к сети не подключали ни один?
Тогда такой лог сделайте, только временно отключите антивирус и не запускайте других лечащих утилит.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Лог
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delref %Sys32%\DRIVERS\UZMWNZQ3.SYS
del %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GETVIDEO\GETVIDEO.LNK
del %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WEBVIEW_L\UNINSTALL.LNK
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSIBILITY\ACCESSIBILITY.EXE
addsgn 988C1FEA242A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7277E5516073B09895FB55049713BDB4BBEA69CB0A77B7F2D3A17F56473 8 Worm.Win32.AutoRun.iea [Kaspersky] 7
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSORIES.PIF
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACE STREAM MEDIA\STREAM MEDIA.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\TOOLS.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CMS VISION PROTO-X V.3.18\VISION PROTO-X V.3.18.SCR
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CROSSOUT\CROSSOUT.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\EAST IMPERIAL SOFT\IMPERIAL SOFT.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\EAST IMPERIAL SOFT\MAGIC PARTITION RECOVERY 2.1\PARTITION RECOVERY 2.1.SCR
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ELECTRONICS WORKBENCH\WORKBENCH.SCR
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GETVIDEO\GETVIDEO.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MAINTENANCE\MAINTENANCE.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBIKIN\MOBIKIN.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NAVIEXTRAS\NAVIEXTRAS.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NAVITEL NAVIGATOR UPDATE CENTER\NAVIGATOR UPDATE CENTER.SCR
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NETSURVEILLANCE\NETSURVEILLANCE.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RM-3\RM-3.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RMPREPUSB\RMPREPUSB.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SOPCAST\SOPCAST.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SPU_ORB\SPU_ORB.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SYSTEM TOOLS\TOOLS.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\UNINSTALL TOOL\UNINSTALL TOOL.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VMS\VMS.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WEBVIEW_L\WEBVIEW_L.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WINDOWS POWERSHELL\POWERSHELL.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\XIAOMI\XIAOMI.SCR
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\µTORRENT\µTORRENT.PIF
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ДЕКЛАРАЦИЯ 2019\ДЕКЛАРАЦИЯ 2019.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\СПО СПРАВКИ БК\СПРАВКИ БК.SCR
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ФОТОМАСТЕР\ФОТОМАСТЕР.PIF
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\IMPLICITAPPSHORTCUTS\IMPLICITAPPSHORTCUTS.EXE
chklst
delvir
deltmp
czoo
restart
apply[/code]Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Но ещё раз: пока в сети хотя бы один заражённый червём компьютер - это бесполезно.