Trojan.Nsanti.Packed

Printable View

23.06.2008, 19:42
korund

Вложений: 3

Trojan.Nsanti.Packed

Прошу помочь.Несколько мес. назад через зараженную флешку Trojan.Nsanty.Packed попал в комп. файл zmcc.dll в папке Temp. Сразу же перестали открываться скрытые файлы,неделю назад слетела Lingvo. На флешке постоянно зараженный авторан. Что я только не делал, как только не лечил флешку - все равно авторан заражается...
DrWeb лечит зараженный файл,но потом он вновь его обнаруживает как зараженный. После проверки через AVZ,перестал открываться диск С (спрашивает через какую программу его открыть).
Я уже видел подобную тему здесь, но здесь говорилось, чо каждый случай - индивидуальный, поэтому пересылаю файлы.
Надеюсь на Вашу помощь.
23.06.2008, 19:50
V_Bond

отключите восстановление системы ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\2ifetri.cmd');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
24.06.2008, 12:51
korund

Вложений: 3

Выполнил скрипт, и снова все проверил. Пока все так же
24.06.2008, 13:02
PavelA

G:\autorun.inf - появился новый зараженный диск.
Чистим его:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('G:\2ifetri.cmd ');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
24.06.2008, 13:37
korund

Требуются ли какие-нибудь доп процедуры при этом? например shift нажать,чтобы авторан на флешке не запускался (G-это флэшка).
После того, как вылечу флешку,надо ли повторить лечение HDD, как указано в ссобщ №2?
24.06.2008, 14:05
PavelA

Почитай в "Чаво". Там есть тема по отключению автозапуска всего и вся. После выполнения рекомендаций оттуда можно начинать лечиться.
Другой вариант: Вставить флешку с shiftom, после этого мой скрипт , а потом из №2 для порядка.
26.06.2008, 10:10
korund

Вложений: 3

Полечил флешку, и снова HDD. Все заработало, но потом опять попытался установить Lingvo12, не получилось, и когда делал логи, что-то опять нашлось (логи во вложении). После этого удалил дистрибутив Лингво вообще. Архив с результатами почему-то не могу загрузить.
26.06.2008, 10:38
PavelA

Это не страшно. Это просто подозрение АВЗ.

Карантин пришли через красную ссылку. База АВЗ обновятся и этого больше не будет.
27.06.2008, 13:11
korund

Большое спасибо. Сейчас все работает нормально. Еще такой вопрос: со 100% вероятностью этот вирус есть на компе моего брата. Если я буду использовать флешку на его компе, авторан флешки будет снова заражен?
Стоит ли мне использовать рекомендованные здесь скрипты для лечения его компа, или лучше прислать его логи?
27.06.2008, 13:21
PavelA

Заведи новую тему. По Правилам все туда вложи.

"И тебя вылечат" (с) "Иван Васильевич меняет профессию"
22.02.2009, 06:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qmf[/B] (DrWEB: Win32.HLLW.Autoruner)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.qmf[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] e:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qmf[/B] (DrWEB: Win32.HLLW.Autoruner)[/LIST][/LIST]