Вирус на флешке

Здравствуйте, такая проблема: сегодня подключил одну из своих флешек, а на ней какие-то странные файлы с названиями Opera.exe, RUN_TF2.exe, RUNDLL32.exe, SPOOLSV.exe. Проверил их на [URL]http://vms.drweb.com/online/?lng=ru[/URL] во всех нашёлся Win32.Virut.56. Что делать? На флешке очень важная информация. Как скинуть её на компьютер, при этом не заразив его? Как узнать, что он уже не заразился?

Уважаемый(ая) [B]Eragog[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

У вас файловый вирус.
Как лечить - здесь:
[url]http://virusinfo.info/showthread.php?t=15927[/url]
При этом полностью сканировать все диски на компьютере, и флешка должна быть подключена к компьютеру.

После лечения сделайте логи по правилам:
[url]http://virusinfo.info/pravila.html[/url]

[QUOTE=Nikkollo;828547]У вас файловый вирус.
Как лечить - здесь:
[url]http://virusinfo.info/showthread.php?t=15927[/url]
При этом полностью сканировать все диски на компьютере, и флешка должна быть подключена к компьютеру.

После лечения сделайте логи по правилам:
[url]http://virusinfo.info/pravila.html[/url][/QUOTE]
Подождите, может, его нет на компьютере. Я же сказал, что только на флешке странности. С компьютером всё нормально (вчера логи выкладывал, здесь сказали, что всё нормально). Или вы считаете, что при подключении флешки компьютер заразился?

[quote="Eragog;828548"]логи выкладывал, здесь сказали, что всё нормально[/quote]
На Win7 риск заразиться с флэшки посредством автозапуска невелик (надеюсь, вы сами не запускали эти файлы?). Но с другой стороны, файловые вирусы семейства Virut в логах AVZ и HijackThis не видны. Так что для полной уверенности надо сделать, как сказал коллега [B]Nikkollo[/B]:
[QUOTE]Как лечить - здесь:
[url]http://virusinfo.info/showthread.php?t=15927[/url]
При этом полностью сканировать все диски на компьютере, и флешка должна быть подключена к компьютеру.[/QUOTE]
Думаю, можно для начала сделать быструю проверку утилитой CureIt, и по ее результатам будет видно - лечить по полной схеме или только флэшку.

[QUOTE=Bratez;828553]На Win7 риск заразиться с флэшки посредством автозапуска невелик (надеюсь, вы сами не запускали эти файлы?). Но с другой стороны, файловые вирусы семейства Virut в логах AVZ и HijackThis не видны. Так что для полной уверенности надо сделать, как сказал коллега [B]Nikkollo[/B]:

Думаю, можно для начала сделать быструю проверку утилитой CureIt, и по ее результатам будет видно - лечить по полной схеме или только флэшку.[/QUOTE]
Ситуация такая: автозапуск с флешек отключён. Сам я, естественно, файлы эти не запускал. Насчёт проверок: проверять просто утилитой CureIt или с загрузочного диска? И насчёт диска: у меня нет чистого компьютера, чтобы записать диск. Есть второй комп, но не известно чистый он или нет. Эти файлы я через браузер отправлял на проверку сюда - [url]http://vms.drweb.com/online/?lng=ru[/url] и сюда - [url]http://www.virustotal.com/[/url]. Из-за этого может произойти заражение?

[quote="Eragog;828559"]проверять просто утилитой CureIt или с загрузочного диска?[/quote]
В вашем случае я думаю достаточно CureIt. Если выяснится, что система все-таки заражена, тогда желательно будет сделать диск.

[quote="Eragog;828559"]Эти файлы я через браузер отправлял на проверку ... Из-за этого может произойти заражение?[/quote]
Нет.

[QUOTE=Bratez;828560]В вашем случае я думаю достаточно CureIt.


Нет.[/QUOTE]
Значит, провести только быструю проверку CureIt'ом? А флешку тоже проверить? А что делать с нужными файлами на этой флешке? И в каком режиме выполнять проверку? Безопасном?

Для дисков в системе - быструю.
Для флешки - полное сканирование.
Virut заражает исполняемые файлы, но излечим.
Алгоритм при этом такой - все, что лечится - лечить, что не лечится - перемещать в карантин.
Перед этим, если файлы на флешке вам очень важны и их потом больше неоткуда восстановить - скопируйте их на жесткий диск и заархивируйте с паролем.

Проверку можно делать в любом режиме.

И логи еще раз сделайте и приложите.

Делать проверку из системы или с загрузочного диска?

Из системы, свежескачанным CureIt.
Но если при этом будут наблюдаться какие-нибудь аномалии - тогда с загрузочного диска.

[QUOTE=Nikkollo;828576]Из системы, свежескачанным CureIt.
Но если при этом будут наблюдаться какие-нибудь аномалии - тогда с загрузочного диска.[/QUOTE]
В смысле "аномалии"?

Ну в смысле - внезапное прекращение работы CureIt. Или перезагрузки системы. Или что-нибудь подобное.

Провёл быструю проверку CureIt'ом. При быстрой проверке почему-то проверился только диск C. Ничего то, что я проводил проверку с включённой KIS? Ничего не обнаружено. Потом провёл выборочную проверку флешки, в файлах, о которых я писал ранее: обнаружен вирус - Win32.Virut.56. Вылечил. После лечения файлы остались, но тут - [url]http://vms.drweb.com/online/?lng=ru[/url] уже не обнаруживается вирус Win32.Virut.56. На virustotal.com всё равно обнаруживаются вирусы. Вот пример - [url]http://www.virustotal.com/file-scan/report.html?id=66bfb606f8012fd3de5378c61933aaf0b094d27537279d5e4b589ca211b28e80-1316966246[/url]. Что делать дальше? Как узнать заражён ли компьютер? Что делать с флешкой?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Забыл написать: сейчас у меня на компьютере почему-то запущено 3 процесса ctfmon.exe (C:\Windows\SysWOW64\ctfmon.exe). Раньше данный процесс у меня не запускался. Это нормально? Это как-то связано с проверкой CureIt'ом?

Сделайте логи по правилам и приложите.

Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
[url]http://virusinfo.info/showthread.php?t=3519[/url]
Информацию о загрузке приложите здесь.

[QUOTE=Nikkollo;828603]Сделайте логи по правилам и приложите.

Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
[url]http://virusinfo.info/showthread.php?t=3519[/url]
Информацию о загрузке приложите здесь.[/QUOTE]
Сделаю, а что с компьютером? Как узнать, заражён ли он? И что с флешкой? Как вытащить оттуда нужные файлы, не заразив компьютер?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 53 минуты[/I][/B][/color][/size]

Сейчас заметил: у меня на компьютере появился третий notepad.exe в папке c:\windows\notepad.exe. Остальные находятся в c:\windows\system32\notepad.exe и c:\windows\syswow64\notepad.exe. И ещё: KIS показала, что notepad.exe обращался к системным dll. Это нормально?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 14 минут[/I][/B][/color][/size]

Мне ответят?

На Рабочем столе сделайте новую папку и скопируйте туда нужные вам файлы с флешки.
Затем папку заархивируйте с паролем.

Потом сделате то, что в сообщении №15 и приложите соответствующие файлы в соответслвующие места.

С notepad.exe - это нормально.

[b]Eragog[/b], Уважаемый, давайте наконец закончим дискуссию. [URL="http://virusinfo.info/pravila.html"][COLOR="#FF0000"][B]Сделайте логи по правилам[/B][/COLOR][/URL], Вам ответят заражен Ваш компьютер или нет. Если да - Вам выпишут "рецепт".

[QUOTE=Nikkollo;828747]На Рабочем столе сделайте новую папку и скопируйте туда нужные вам файлы с флешки.
Затем папку заархивируйте с паролем.

Потом сделате то, что в сообщении №15 и приложите соответствующие файлы в соответслвующие места.

С notepad.exe - это нормально.[/QUOTE]
Во-первых, если я скопирую файлы с флешки в папку на рабочем столе, компьютер может заразиться? Во-вторых, зачем её архивировать с паролем? В-третьих, эти файлы нужны мне для использования сейчас (ключевые файлы для доступа к WMID). В-четвёртых, как узнать не заражён ли компьютер уже?

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Забыл спросить: а что делать с файлами на флешке, в которых вирус? CureIt их вроде вылечил, но virustotal.com показывает, что там есть вирус.

[URL="http://virusinfo.info/showthread.php?t=109564&p=828748&viewfull=1#post828748"]http://virusinfo.info/showthread.php?t=109564&p=828748&viewfull=1#post828748[/URL]

[QUOTE=Olejah;828761][URL="http://virusinfo.info/showthread.php?t=109564&p=828748&viewfull=1#post828748"]http://virusinfo.info/showthread.php?t=109564&p=828748&viewfull=1#post828748[/URL][/QUOTE]
Сделаю, сейчас речь не о том! Что делать с флешкой?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 42 минуты[/I][/B][/color][/size]

Сделал полное сканирование MBAM. Ничего не обнаружено, даже на флешке. Появилась ещё проблема: у меня сейчас запустились такие процессы - c:\windows\winsxs\wow64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.1.7601.17514_none_78dd6e4cd6655603\wmiprvse.exe
c:\windows\winsxs\x86_microsoft-windows-regsvr32_31bf3856ad364e35_6.1.7600.16385_none_782d737490d72da3\regsvr32.exe. Раньше эти процессы никогда на моём компьютере не запускались. Что это?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]

Ещё после проверки MBAM у меня даже плеер запускался отсюда - c:\windows\winsxs\wow64_microsoft-windows-mediaplayer-core_31bf3856ad364e35_6.1.7601.17514_none_73e472e09a1a05d1\wmplayer.exe
А раньше запускался отсюда - c:\program files (x86)\windows media player\wmplayer.exe.
Что с моей системой?

Я не уверен, что приведенному Вами результату проверки на Вирустотал можно доверять. Что-то зараженное видят в основном никому неизвестные (читай: мало распространенные) антивирусы с неизвестно какими настройками сканирования

[QUOTE=thyrex;828807]Я не уверен, что приведенному Вами результату проверки на Вирустотал можно доверять. Что-то зараженное видят в основном никому неизвестные (читай: мало распространенные) антивирусы с неизвестно какими настройками сканирования[/QUOTE]
Сначала CureIt тоже видел, потом он якобы вылечил, теперь не видит. И что с моей проблемой, которую я описал в последнем сообщении? И вообще, что теперь делать с флешкой?

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

Мне ответят?

[quote="Eragog;828811"]И вообще, что теперь делать с флешкой?[/quote] Если там еще находятся подозрительные файлы, их можно отослать на проверку в вирлаб того же Доктора.

[QUOTE=Olejah;828824]Если там еще находятся подозрительные файлы, их можно отослать на проверку в вирлаб того же Доктора.[/QUOTE]
Зачем это мне? Как вытащить нужные файлы, не заразив компьютер? И что с этой проблемой - [url]http://virusinfo.info/showthread.php?t=109564&p=828763&viewfull=1#post828763[/url]
?

[size="1"][color="#666686"][B][I]Добавлено через 44 минуты[/I][/B][/color][/size]

Мне ответят?

[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]

Про меня забыли?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Почему мне не отвечают?

Сделал логи. Также сделал это - [url]http://virusinfo.info/showthread.php?t=3519[/url]
Информация после загрузки карантина -
Файл сохранён как 110926_155456_virusinfo_files_ERAGOG-PC_4e80a050f0526.zip
Размер файла 275784
MD5 32d5abadad3aad388d2bf68324d25d73
Делал логи с подключённой флешкой и отключённым антивирусом. Так могло произойти заражение?

Ничего необычного в логах

[QUOTE=thyrex;828989]Ничего необычного в логах[/QUOTE]
Ответьте, пожалуйста, на этот вопрос: делал логи с подключённой флешкой и отключённым антивирусом. Так могло произойти заражение?
И, мне так и не ответили: что делать с флешкой? Подозрительные файлы на ней остались. Как вытащить нужные файлы, при этом не заразив компьютер?

Скопируйте нужные файлы, флэшку отформатируйте.

[QUOTE=миднайт;829053]Скопируйте нужные файлы, флэшку отформатируйте.[/QUOTE]
Как скопировать файлы, при этом не заразив компьютер?

Если думаете что Ваши экзешники на флэшке заражены файловым вирусом, посмотрите на дату из изменения. Если она недавняя, а сам файл "старый", то есть вероятность что он поражен вирусом. Если сомневаетесь, отправьте пару подозрительных, но нужных вам экзешников на анализ в вирусную лабораторию любого вендора. После ответа уже можете спокойно копировать все что Вам необходимо. Рекомендую при копировании пользоваться файловым менеджером total commander с включенной опцией показа скрытых файлов.

[QUOTE=миднайт;829057]Если думаете что Ваши экзешники на флэшке заражены файловым вирусом, посмотрите на дату из изменения. Если она недавняя, а сам файл "старый", то есть вероятность что он поражен вирусом. Если сомневаетесь, отправьте пару подозрительных, но нужных вам экзешников на анализ в вирусную лабораторию любого вендора. После ответа уже можете спокойно копировать все что Вам необходимо. Рекомендую при копировании пользоваться файловым менеджером total commander с включенной опцией показа скрытых файлов.[/QUOTE]
Нужных экзешников нет. Есть другие файлы. Их копировать безопасно?

Какие другие? Офисные документы и картинки - безопасно.

[QUOTE=миднайт;829066]Какие другие? Офисные документы и картинки - безопасно.[/QUOTE]
Офисные документы и картинки тоже есть, но самое главное - это файл ключа для доступа к WMID (Webmoney). Его расширение - *.kwm. Его безопасно скопировать, а потом указать программе (keeper), для доступа к WMID?

[quote="Eragog;829069"]файл ключа для доступа к WMID (Webmoney). Его расширение - *.kwm. Его безопасно скопировать, а потом указать программе (keeper), для доступа к WMID?[/quote]
Да.

[QUOTE=Bratez;829074]Да.[/QUOTE]
Точно? Из-за этого компьютер не может заразиться?

110926_155456_virusinfo_files_ERAGOG-PC_4e80a050f0526.zip
Подозрительного в архиве не обнаружено.
Файл ключа для Вебмани можете скопировать с флешки на жесткий диск и использовать в программе. Заражение системы при этом очень маловероятно.

100% ответа вам скорей всего здесь не дадут, как бы вы его не добивались :)