Worm.Win32.AutoRun.diq

Printable View

30.06.2010, 23:03
Fatalko

Worm.Win32.AutoRun.diq

Добрый день! Словил с флешки вирус [COLOR=red]Worm.Win32.AutoRun.diq[/COLOR] ([COLOR=red]ati2avxx.exe / mlburmh.exe[/COLOR]). CureIt виснет при сканировании, HiJackThis не запускается, безопасный режим сбрасывается в перезагрузку. Вирус ничего плохого не делает, за исключением того, что изредка печатает что-то вроде "testtesttest" или "еуеыеуе" в поле ввода. Прошу помощи, прилагаю информацию сканирования AVZ.
30.06.2010, 23:33
DefesT

Доброго времени суток
Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ati2avxx.exe');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\mlburmh.exe','');
QuarantineFile('C:\WINDOWS\system32\IMES.dll','');
QuarantineFile('c:\windows\system32\ati2avxx.exe','');
DeleteFile('c:\windows\system32\ati2avxx.exe');
DeleteFile('C:\mlburmh.exe');
DeleteFile('C:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам, hijackthis тоже нужен!
30.06.2010, 23:53
Fatalko

Приветствую, DefesT, проверил еще раз hjackthis, ну никак не запускается, даже с заблокированным процессом вируса.:?
Скрипт выполнил, прилагаю логи и карантин (пароль virus).
30.06.2010, 23:57
DefesT

virus.zip - уберите из вложений
[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
Базы не обновили, логи переделать
[QUOTE='DefesT;663390']Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.[/QUOTE]
Карантин загрузите по правилам
01.07.2010, 00:11
Fatalko

Логи переделал, выкладываю, карантин прислал по форме.
01.07.2010, 00:22
DefesT

выполните скрипт в AVZ:[CODE]begin
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
После перезагрузки сделайте лог [B]virusinfo_syscheck.zip[/B] и попробуйте hijack
01.07.2010, 00:37
Fatalko

HiJackThis переименовал, заработало. Логфайлы ниже.
01.07.2010, 02:00
thyrex

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
01.07.2010, 19:23
Fatalko

Вот-с.
02.07.2010, 15:28
thyrex

Сделайте логи AVZ
02.07.2010, 17:43
Fatalko

Вот они. На будущее: как отключить автозапуск с носителей и в целом защититься от такого рода вирусов?
02.07.2010, 23:13
thyrex

[QUOTE='Fatalko;664302']как отключить автозапуск с носителей[/QUOTE]Он у Вас и так отключен со всех носителей
Что с проблемой?
02.07.2010, 23:32
Fatalko

[QUOTE]Что с проблемой?[/QUOTE]
Решена.
02.07.2010, 23:55
thyrex

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

FlashGet переустановите

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
03.07.2010, 23:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\autorun.inf - [B]Worm.Win32.AutoRun.wzu[/B] ( BitDefender: Trojan.Autorun.RU, AVAST4: VBS:Malware-gen )[*] c:\windows\system32\imes.dll - [B]Trojan.Win32.Delf.fjk[/B] ( DrWEB: Win32.HLLW.Autoruner.2497, BitDefender: Trojan.Agent.Delf.JA, NOD32: Win32/AutoRun.QV worm, AVAST4: Win32:Agent-SIM [Trj] )[/LIST][/LIST]