автораны

Здравствуйте, недавно подцепил какую то гадость, которая проникла ко мне через авторан на флешке. В корне единственного диска на ноуте все время выскакивает файл autorun.inf чтоб обойти эту гадость папку с одноименным названием создать не удается, ошибка. При включении любой флешки в корне её так же создается файл autorun.inf и папка IZUCIO в которой находиться файл bure.exe их не удалить. Плюс добавилась блокировка интернета, посижу минуту и не работает, хотя подключение есть. Сканирование последними доктор веб кур., авз, и прогой анти авторан ничего не дало, лишь virus removal пытался что то подлечить но безрезультатно. В безопасном режиме синий экран и ребут. Заражаю людям флешки, если кто нибудь сталкивался помогите пожалуйста...

логи

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\all users\application data\srtserv\playboyxxx.exe');
TerminateProcessByName('c:\docume~1\86c2~1\locals~1\temp\rtkbtmnt.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\egl1ds.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\kfxg2c9.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\s92r.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\ydut.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\yjsagnr.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\ygmdrm.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\jshodnpf~.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\TEMP\qytda.exe','');
QuarantineFile('C:\WINDOWS\fonts\services.exe','');
QuarantineFile('c:\documents and settings\all users\application data\srtserv\playboyxxx.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\zcbgoqxpp7.sys','');
QuarantineFile('\SystemRoot\system32\drivers\zcbgoqxpp7.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\zbraqckwedmfa9.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll');
DeleteFile('C:\WINDOWS\system32\drivers\zbraqckwedmfa9.sys');
DeleteFile('\SystemRoot\system32\drivers\zcbgoqxpp7.sys');
DeleteFile('C:\WINDOWS\system32\drivers\zcbgoqxpp7.sys');
DeleteFile('c:\documents and settings\all users\application data\srtserv\playboyxxx.exe');
DeleteFile('C:\WINDOWS\fonts\services.exe');
DeleteFile('C:\WINDOWS\TEMP\qytda.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','apps');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','85gblp');
DeleteFile('C:\Documents and Settings\Пользователь\jshodnpf~.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','jshodnpf~');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','jshodnpf~');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','jshodnpf~');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\ygmdrm.exe');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\yjsagnr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\PlayboyXXX.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','0q6l4');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\ydut.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','e5u1');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\s92r.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','w8d6');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\kfxg2c9.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','mmbsp');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\egl1ds.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','ccemf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

[B] - Обновите базы[/B]

- Повторите логи

Всё сделал, скрипты выполнил, карантин отправил, буду смотреть, подскажите а логи повторно мои отослать нужно?

[QUOTE='Olejah;721366']- Обновите базы

- Повторите логи[/QUOTE] Конечно. Нужно сделать новые логи после обновления баз.

Повторные логи с последними базами

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('zbraqckwedmfa9');
QuarantineFile('C:\WINDOWS\svc3.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\PlayboyXXX.exe.bak','');
DeleteFile('C:\WINDOWS\svc3.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','NetLog3');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','NetLog3');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','NetLog3');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','NetLog2');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','NetLog2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','NetLog2');
DeleteFile('C:\WINDOWS\system32\drivers\zbraqckwedmfa9.sys');
BC_DeleteSvc('zbraqckwedmfa9');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи АВЗ

- [B]F:\autorun.inf[/B] - вот этот авторан Вам знаком?

Да, это папка на съемном диске, сижу просто через мтс модем, там в нем микро сд у меня, папку создала программа анти авторан чтоб заблокировать от атаки...

выполнил

Бесполезно, вставляешь любую флешку, мигом в корне появляются aUtoRuN.iNF и mdhimiv.exe причем теперь когда копируешь на флешку любую папку она становиться скрытой, и появляется такая же только с расширением .exe ...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Восстановление системы у меня не выключается, пишет ошибка восстановления системы, может msnm в этом дело...

Пофиксите в hijackthis строки:
[CODE]O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)[/CODE]


Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\all users\application data\srtserv\mdhimiv.exe');
QuarantineFile('c:\documents and settings\all users\application data\srtserv\mdhimiv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\zcbgoqxpp7.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\mdhimiv.exe.bak','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\PlayboyXXX.exe.bak','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\mdhimiv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll','');
QuarantineFile('c:\docume~1\86c2~1\locals~1\temp\rtkbtmnt.exe','');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\mdhimiv.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\PlayboyXXX.exe.bak');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\mdhimiv.exe.bak');
DeleteFile('C:\WINDOWS\system32\drivers\zcbgoqxpp7.sys');
DeleteFile('c:\documents and settings\all users\application data\srtserv\mdhimiv.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\srtserv','*.*',true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\srtserv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Сделайте новые логи

+ лог [URL=http://virusinfo.info/showthread.php?t=53070]MBAM[/URL]

логи

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\disableregedit (Hijack.Regedit) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\disableregedit (Hijack.Regedit) -> No action taken.

Зараженные файлы:
F:\avz4\avz4\Quarantine\2010-10-08\avz00005.dta (Trojan.Agent) -> No action taken.
C:\WINDOWS\addins\smss.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\addins\333.reg (Malware.Trace) -> No action taken.
C:\WINDOWS\addins\svchost.exe (Trojan.Agent) -> No action taken.
[/CODE]


Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

С автораном вопрос решился, всё чисто, но вот уходящий траффик просто бешенно исчезает, такого не было раньше, что это может быть?

Где мой карантин?

[QUOTE=Venus Doom;721658]Где мой карантин?[/QUOTE]

вот

[QUOTE='Venus Doom;721414']айл quarantine.zip загрузите по ссылке прислать запрошенный карантин.[/QUOTE] Вот про этот карантин идёт речь.

скажите скрипт тот же в авз на карантин задавать?

В папке AVZ должен быть файл quarantine.zip пришлите его по красной ссылке

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]50[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\srtserv\\sdata.dll - [B]Trojan.Win32.Agent2.cwdb[/B] ( DrWEB: BackDoor.Pushnik.9, BitDefender: Win32.Worm.Rimecud.BA, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\86c2~1\\locals~1\\temp\\kfxg2c9.exe - [B]Backdoor.Win32.VB.mhn[/B] ( DrWEB: Trojan.Hosts.1918, BitDefender: Trojan.Generic.4954347, AVAST4: Win32:VB-QQH [Trj] )[*] c:\\windows\\system32\\drivers\\zbraqckwedmfa9.sys - [B]Rootkit.Win32.Tent.ccw[/B] ( DrWEB: Trojan.NtRootKit.9733, BitDefender: Trojan.Generic.5006930, AVAST4: Win32:Agent-AHBJ [Rtk] )[*] c:\\windows\\system32\\drivers\\zcbgoqxpp7.sys - [B]Rootkit.Win32.Tent.ccv[/B] ( DrWEB: Trojan.NtRootKit.9733, BitDefender: Trojan.Generic.5007174, AVAST4: Win32:Agent-AHBJ [Rtk] )[/LIST][/LIST]