При открытии дисков, последние открываются в новом окне (при этом подгружается флоппик). Также иногда компьютер сильно тормозит (возможно загружаются одни и те же процессы).
Printable View
При открытии дисков, последние открываются в новом окне (при этом подгружается флоппик). Также иногда компьютер сильно тормозит (возможно загружаются одни и те же процессы).
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.vbs','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.vbs','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.vbs','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\autorun.vbs');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\autorun.vbs');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\autorun.vbs');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(8 );
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Локальные диски по-прежднему открываются в новом окне.
Выслал карантин.
Вот новые логи:
А Вы скрипт выполняли? Все на месте, как и было.
Скрипт выполнил. Ничего не изменилось.
Логи в посте 3 после выполнения скрипта.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('E:\autorun.vbs');
BC_DeleteFile('E:\autorun.inf');
BC_DeleteFile('D:\autorun.vbs');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('C:\autorun.vbs');
BC_DeleteFile('C:\autorun.inf');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Провел проверку Cureit с CD в безопасном режиме.
Было найдено много подозрительных файлов (помимо авторанов), которые дублировали все вордовсие документы на компьюете (с одинаковыми названиями), но имели разрешение .vbs. Все они были удалены. После перезагрузки при попытке окрыть локальные диски проводником, получал следующее сообщение: "Не удается найти файл сценария С:\autorun.vbs" (применительно к диску С:), D:\autotun.vbs для D: и т.д. Однако, в досе все диски отлично просматривались, их содержимое прекрасно запускалось и работало.
Вот логи после проверки Cureit.
Сейчас сделаю инструкции поста №7. Выложу новые логи.
Выполнил скрипт. Выкладываю логи.
Также заметил, что после проверки Cureit файлы autorun.vbs исчезли со всех дисков (после перезагрузки не восстановились). Зато autorun.inf остались. Также обнаружил на всех локальных дисках по 2 подозрительных файла реестра с именами doc.reg и vbs.reg.
Локальные диски по-прежднему не открываются по вышеописанным причинам -> не могу сказать, открываются ли они в одном окне или в новом.
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('E:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После ребута - карантин и новые логи в студию.
Спасибо большое за помощь. Локальные диски открываются нормально.
Карантин выслать не удалось, ибо autorun.inf был полностью уничтожен. Выкладываю скрипты.
Хотелось бы узнать, что за файлы doc.reg и vbs.reg, и не представляют ли они угрозы для системы. Также убедительно прошу просмотреть логи на наличие иной заразы. Заранее благодарен.
[QUOTE=dss;266623]Хотелось бы узнать, что за файлы doc.reg и vbs.reg, и не представляют ли они угрозы для системы.[/QUOTE]
Файлы этого типа при запуске прописывают изменения в реестре - они могут быть как позитивные, так и негативные. Лучше если такие файлы - даже хорошие- не лежат на диске в доступном виде - их можно переименовать или запаковать в защищенный архив
В логах чисто.
Сервис Пак 3 поставьте.
Постоянно использую 2 флешки, они наверняка заражены. Как лучше их лечить, чтобы не допустить заражение всей системы?
[QUOTE=dss;266630]Как лучше их лечить, чтобы не допустить заражение всей системы?[/QUOTE]Линукс под рукой есть? Отформатируйте в FAT. Если нет под рукой - скачайте отсюда [url]www.knoppix.com[/url] , сделайте LiveCD , загрузитесь - и вперед и с песнями ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.vbs - [B]Virus.VBS.Agent.a[/B] (DrWEB: VBS.Generic.594)[*] d:\\autorun.vbs - [B]Virus.VBS.Agent.a[/B] (DrWEB: VBS.Generic.594)[*] e:\\autorun.vbs - [B]Virus.VBS.Agent.a[/B] (DrWEB: VBS.Generic.594)[/LIST][/LIST]