kurcina & sejo

Printable View

26.11.2010, 02:55
webdesigner

kurcina & sejo

обнаружил на флешке скрытые папки kucina и sejo. В папке kurcina скрывался файл prokleta.exe, в папке sejo тоже был какой-то exe файл, название не помню. Потом такие же папки обнаружил на винчестере. С помощью cure it ликвидировал эти папки после чего доступ к флешке пропал, однако папка kurcina так и не исчезла. Выполнил стандартные скрипты:
26.11.2010, 03:51
Bratez

Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('N:\autorun.inf');
DeleteFile('N:\kurcina\\prokleta.exe');
DeleteFileMask('N:\kurcina','*.*',true);
DeleteDirectory('N:\kurcina');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=92458[/url]).
Отпишитесь о проблеме.
26.11.2010, 09:28
webdesigner

Я так понял мне нужно выполнить автокарантин ?
После выполнения вашего скрипта компьютер пошел в ребут, но винда так и не закрузилась (был черный экран). После нажатия кнопки "reset" когда винда все же загрузилась (кстати появилось окно выбора режима закрузки винды), причем она делала это необычно долго я сразу же стал проверять флешку - папка "kurcina" по прежнему была на ней!
К сожалению, не удается закачать архив с карантином на ваш сервер, поэтому загрузил на ifolder.ru:
[url]http://ifolder.ru/20471329[/url]
26.11.2010, 14:11
миднайт

Установите флэшку.
В AVZ выполните скрипт:

[code]
begin
SetAVZGuardStatus(True);
DeleteFile('N:\autorun.inf');
DeleteFile('N:\kurcina\prokleta.exe');
DeleteFileMask('N:\kurcina','*.*',true);
DeleteDirectory('N:\kurcina');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
[/code]

После перезагрузки скачайте новую версию AVZ, обновите базы и повторите логи.
26.11.2010, 14:41
webdesigner

Как думаете, стоит проверить другие машины с которыми взаимодействовала флешка ?
26.11.2010, 14:46
миднайт

Думаю нужно их проверить.
26.11.2010, 22:02
webdesigner

Скрипт выполнил, скачал новую версию AVZ, обновил базы, повторил логи:

p.s. папка kurcina с флешки исчезла!
26.11.2010, 23:33
миднайт

Похоже что чисто. Опять же:...
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
10.12.2010, 12:38
webdesigner

Сегодня пошел с флешкой в печатное агенство, вставили флешку, смотрю знакомая папка kurcina на ней, хотя ни на работе ни дома эту папку не видно!
10.12.2010, 13:31
thyrex

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL] (не забудьте вставить флешку и отметить ее в списке дисков для сканирования)
22.12.2010, 21:09
webdesigner

Вот посканировал, mbam кстати не увидел курчину, я ее грохнул unlocker'ом.
23.12.2010, 00:43
миднайт

Удалите в mbam :

[CODE]Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.[/CODE]
24.12.2010, 00:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]54[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]