Прочистил cureit-oм. Были вирусы.
Если вставить флэшку в этот ноут, то на ней появляются два скрытых файла: avtorun.ini и некий экзэшник.
Далее по правилам.
Кстати, можно ли как-то в системе отключить авторан с флешки?
Спасибо
Printable View
Прочистил cureit-oм. Были вирусы.
Если вставить флэшку в этот ноут, то на ней появляются два скрытых файла: avtorun.ini и некий экзэшник.
Далее по правилам.
Кстати, можно ли как-то в системе отключить авторан с флешки?
Спасибо
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstask.dll','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('c:\windows\explorer.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
BC_DeleteFile('c:\windows\system32\csrcs.exe');
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(7);
executerepair(8);
RebootWindows(true);
end.[/code] После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=30895[/url] , как написано в прил. 2 правил, и повторите логи.
Сделал.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('H:\iumbzt.exe','');
DeleteFile('H:\iumbzt.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('Explorer.exe csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Вчера отослал карантин и сделал ответ - только с вложениями и без текста в сообщении, письма не вижу. Похоже без текста сообщения недопустимы?
Повторяю вложения.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=4491"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\iumbzt.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Выполнил.
Чисто, жалобы есть?
Спасибо! Флешка больше не заражается .
А два подозрительных объекта в логе - это ничего?
Ничего :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\csrcs.exe - [B]Trojan.Win32.Autoit.ey[/B] (DrWEB: Trojan.Siggen.259)[*] h:\\autorun.inf - [B]Worm.Win32.AutoRun.pea[/B][*] h:\\iumbzt.exe - [B]Trojan.Win32.Autoit.ey[/B] (DrWEB: Trojan.Siggen.259)[/LIST][/LIST]