на флешке autorun.inf и cache.tmp

Printable View

11.06.2009, 14:57
ignis

на флешке autorun.inf и cache.tmp

На компе Vista.Тормозит жутко.
11.06.2009, 15:52
Rene-gad

[COLOR="Red"]Внимание !!! База поcледний раз обновлялась 11/10/2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/COLOR]

Логи переделать.
Запускаем все лечебные программы от имени администратора.

Если Виста 64-бит - АВЗ ничего не покажет.
11.06.2009, 16:19
gjf

Также [URL="http://virusinfo.info/showthread.php?t=4905"]отключите системное восстановление[/URL].
11.06.2009, 18:41
ignis

Виста 32-бита
Восстановление отключил
11.06.2009, 19:02
gjf

1. Извлеките все флешки.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\chaupoca\DoctorWeb\Quarantine\WPA_Kill.exe','');
QuarantineFile('C:\Users\chaupoca\DoctorWeb\Quarantine\WPA_Kill.exe','');
QuarantineFile('C:\Windows\winstart.bat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7959005423-2288540037-490302486-0679\sysdate.exe','');
QuarantineFile('C:\Windows\system32\msiexec','');
DeleteFile('C:\RECYCLER\S-1-5-21-7959005423-2288540037-490302486-0679\sysdate.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится
4. После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
[b]- Обновите базы AVZ, если ещё этого не сделали![/b]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
12.06.2009, 12:58
ignis

Всё сделал. Комп ведёт себя норм.Спасибо!
12.06.2009, 14:03
gjf

Не торопитесь. Вы карантин загрузили?
Флешки пока не вставлять!
12.06.2009, 14:06
ignis

карантин загрузил. Если необходимо - могу ещё раз.
12.06.2009, 14:58
gjf

Нет, не нужно.
Вы уверены, что отключили восстановление системы?
12.06.2009, 15:18
ignis

Да, восстановление отключено. Т.к. при запуске "System Restore" в первом окне пишет "System Protection is turned off....."
Почему AVZ пишет,что восстановление включено - незнаю.
12.06.2009, 15:28
Rene-gad

[QUOTE=ignis;415752]Почему AVZ пишет,что восстановление включено - не знаю.[/QUOTE]Потому, что это Vista: АВЗ не может определить, выключено ли СВ или нет :)
12.06.2009, 19:40
gjf

[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
15.06.2009, 14:51
ignis

Лог сделал
15.06.2009, 15:02
gjf

Чисто. Жалобы есть?
Учтите, что флешки перед их использованием необходимо пролечить от вируса. В противном случае Вы снова заразите компьютер.

Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\]
"Start"=dword:00000004

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[/CODE]

Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.
15.06.2009, 15:54
ignis

Проблемы исчезли после выполнения скрипта в AVZ. Флешку почистил. Спасибо за помощь.
15.06.2009, 16:35
gjf

Вы можете отблагодарить хелпера, который Вам помог, добавив ему отзыв, а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
16.06.2009, 16:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-7959005423-2288540037-490302486-0679\sysdate.exe - [B]Trojan.Win32.KillAV.dkx[/B] ( BitDefender: Trojan.Agent.AMZE )[/LIST][/LIST]