на флешке autorun.fakealert.af

Printable View

05.09.2009, 21:25
KaterinaA

Вложений: 3

на флешке autorun.fakealert.af

Помогите удалить autorun.fakealert.af с флешки. После удаления появлется снова.
05.09.2009, 21:30
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\cfmon.exe','');
QuarantineFile('H:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('H:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\cfmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
05.09.2009, 23:24
KaterinaA

повторные логи

После выполнения "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" система не дает запускать программы. Чтобы запустить HijackThis, пришлось перезагружать компьютер.
А при запуске флешки антивирус Касперский выдает сообщение: троянская программа Rootkit.Win32.Small.ut
05.09.2009, 23:26
KaterinaA

Вложений: 3

вот повторные логи и карантин
05.09.2009, 23:33
pig

[QUOTE=KaterinaA;462743]После выполнения "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" система не дает запускать программы. Чтобы запустить HijackThis, пришлось перезагружать компьютер.[/QUOTE]
Так и должно быть.
05.09.2009, 23:56
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\autorun.inf','');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('H:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('H:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('H:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak','');
DeleteFile('H:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\autorun.exe');
DeleteFile('Q:\autorun.inf');
DeleteFile('Q:\autorun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
06.09.2009, 10:54
KaterinaA

Вложений: 3

Новые логи
06.09.2009, 11:49
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - K:\Java\bin\ssv.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - K:\Java\bin\jp2ssv.dll (file missing)
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: reset5 - H:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('H:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('M:\autorun.inf');
DeleteFile('M:\autorun.exe');
DeleteFile('Q:\autorun.inf');
DeleteFile('Q:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Прочитайте и выполните это: [url]http://virusinfo.info/showthread.php?t=43700[/url].

Сделайте новые логи.
06.09.2009, 15:50
KaterinaA

Вложений: 3

Новые логи
06.09.2009, 16:03
NickGolovko

Зачистка прошла успешно.

Как самочувствие?
06.09.2009, 16:24
KaterinaA

Вроде все нормально. флешка чистая. Только система притормаживает, не все время, а как-то временами.
Всем спасибо огромное!

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А восстановление системы когда можно включить?
06.09.2009, 16:25
Bratez

Установите SP3 и последующие обновления, иначе это не надолго.

[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]

Восстановление можете включить.
07.09.2009, 16:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\autorun.exe - [B]Worm.Win32.Bezopi.dr[/B][*] c:\autorun.inf - [B]Trojan.Win32.AutoRun.dh[/B] ( NOD32: Win32/AutoRun.FakeAlert.AF worm )[*] h:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.ka[/B] ( DrWEB: Trojan.DownLoad.5244, AVAST4: Win32:Preald-AK [Drp] )[*] q:\autorun.exe - [B]Worm.Win32.Bezopi.dr[/B][*] q:\autorun.inf - [B]Worm.Win32.Bezopi.eo[/B] ( DrWEB: Win32.HLLW.Autoruner.6526, BitDefender: Trojan.Script.35655, NOD32: Win32/AutoRun.FakeAlert.AF worm, AVAST4: VBS:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]