Trojan.Win32.Autoit.хх

Здравствуйте.

У меня установлен Антивирус Касперского 8.0.0.506.
Windows Vista Ultimate x64 ENG.

На дисках в корне часто появляются разные модификации вируса Trojan.Win32.Autoit.хх (fi, gc, ej, fj). Касперский их обнаруживает когда к ним обращается система, или же O&O Defrag Agent.
Появляется сообщение о вирусе, я выбираю удалить. При это он удаляет exe файл, и возможно что-то делает с остальными файлами, т.к. я ни разу не видел их до того как Касперский над ними поработает. После этого на дисках остаются файлы autorun.inf, khq, khr. Два последних - имеют нулевой размер.

Но после этого вирус появляется сам по себе постоянно, при том что в Касперский постоянно включён. Делал проверку из под обычного режима с максимальными настройками сканирования - он ничего не нашёл. Это уже после того как он очередной раз удалил эти вирусы из корней дисков.

Скачал тогда Kaspersky Virus Removal Tool.
Запустил в безопасном винду - поставил опять же максимальный уровень сканирования. Долго оно сканировало систему. Нашло вирус в папке C:\Windows\SysWOW64 с именем, точно уже не помню каким, но что-то с "cs" в начале.
Я выбрал удалить файл. Перезагрузил. Всё окей. А вчера после того как оставил комп качать торрент, вернувшись домой обнаружил сообщение Каспера о том что обнаружены вирусы опять. ej, fj модификации. Он их опять удалил, и остались те три файла что я написал выше в корне тех дисков где были обнаружены вирусы.

Скачал AVZ, распаковал, запустил.
Попытался запустить скрипт Healing/Quarantine and Advanced System Analysis.
Закрыл всё что было в трее. Запустил выполнение этого скрипта и сразу же получил в ответ следующее:
[IMG]http://img147.imageshack.us/img147/830/46201342wi5.jpg[/IMG]

после нескольких попыток ничего не изменилось.

Логи скрипта [B]Advanced System [/B]Analysis и Hijackthis выкладываю тут.

С уважением,
Сергей.

авз запускать правой кнопкой - от имени администратора .... лого заново ...

Я так и делал.
На всякий случай проверил ещё раз.
При выполнении Healing/Quarantine and Advanced System Analysis - AVZ всё-равно вылетает.
Выложу ещё раз лог Advanced System Analysis

выполните скрипт
[code]
begin
[COLOR="Red"]SearchRootkit(true, true);
SetAVZGuardStatus(True);[/COLOR]
QuarantineFile('G:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\Windows\system32\csrcs.exe','');
DeleteFile('C:\Windows\system32\csrcs.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Если я правильно понял то вы просто пропустили ;
Дописав её после

[CODE]ExecuteRepair(8);
ExecuteRepair(16)
[/CODE]

и получив:

[CODE]ExecuteRepair(8);
ExecuteRepair(16);
BC_ImportDeletedList;[/CODE]

Запуская скрипт получаю в ответ следующее:


Запускал естественно от имени админа.

выполните скрипт без красных строк ...

Скрипт выполнил.
Файлы с карантина залил (там только autorun.inf файлы).
Логи обновил, но сразу же после перезагрузки без выгрузки всех прог из трея... Сейчас повторю после выгрузки всего, если надо.

Вот только меня интересует вопросик - почему у меня включился UAC в Windows?
Хотя в опциях он выключен, и включив его там, зайдя опять в настройки UAC - он далье пишет что выключен, хотя на самом деле он работает.

Вот логи с выключеными прогами, которые были в трее.

то что хотели удалили .... точнее ничего не скажу .... на 64 битной системе авз играет некорректно ...

Спасибо.
Я только что заметил, что вирусы появлялись на трёх разделах, которые были полностью открыты для доступа из сети.
У меня дома 2 компа. 2-ой под управлением ХР проф.

Как думаете лучше поступить в данной ситуации?
Я думал снять винчестер со второго компа, подключить к своему и прогнать Каспером на максимальных настройках в безопасном режиме.
Потом возможно ещё Dr.Web'ом пройтись, и может быть ещё чем-то....

[QUOTE=SergSlim;321674]Я только что заметил, что вирусы появлялись на трёх разделах, которые были полностью открыты для доступа из сети.[/QUOTE]
Значит, из сети и лезут. Проверьте второй компьютер, это логично.

[quote=pig;321678]Значит, из сети и лезут. Проверьте второй компьютер, это логично.[/quote]

Снял винчестер со второго компа. Поставил на свой. Запустил Винду в безопасном, и просканил весь комп с максимальными настройками Касперского (более 10 часов). Он ничего не нашёл ни на двух винчестерах моего, ни на винчестере второго компа.Сейчас сканирую Др. Веб CureIt.

А кроме как между собой, компьютеры ни с чем больше не связаны? Интернет есть? Если да, то каким способом?

ADSL интернет идёт через модем, который подключён ко входу Wi-Fi маршрутизатора D-Link DIR-400. Он Ethernet кабелем подключён к моему компу, и по Wi-Fi ко второму, у которого используется USB Wi-Fi адаптер D-Link DWA-140.

Соединение между маршрутизатором и адаптером настраивалось автоматически програмным способом, при помощи нажатия одной кнопки. Тоесть сперва одна кнопка в драйверах адаптера, и одна кнопка на корпусе маршрутизатора - и соединение установлено.

Больше никаких особых настроек не производилось, кроме как настройки уже самой сети. Интернет после подключения одной кнопки сразу появлялся на втором компе.
Доступ по сети на свой комп я сделал полный для трёх дисков. А вот со своего на вторйо я не могу попасть. Пишет что нету доступа. Уже всё перепробовал - безрезультатно.

Больше нету других компов в сети.

[QUOTE=SergSlim;321908]Соединение между маршрутизатором и адаптером настраивалось автоматически програмным способом, при помощи нажатия одной кнопки. Тоесть сперва одна кнопка в драйверах адаптера, и одна кнопка на корпусе маршрутизатора - и соединение установлено.[/QUOTE]
Не совсем понял... маршрутизатор в режиме моста, на компьютере дополнительное сетевое подключение (не то, через которое сам девайс доступен)?

[quote=pig;322007]Не совсем понял... маршрутизатор в режиме моста, на компьютере дополнительное сетевое подключение (не то, через которое сам девайс доступен)?[/quote]

А я что-то ваше сообщение не понял.

К моему компу он подключён как посредник между модемом, и в том же числе выполянет связь со вторым компом по сети.

Второй комп подключён к нему по Wi-Fi. На материнке нету встроенного Wi-Fi модуля, поэтому я использую внешний USB Wi-Fi адаптер.

Роутер по Wi-Fi передаёт интернет на вторйо комп, а так же связывает его с моим, если надо для сети.

Надеюсь я ответил на вопрос. Сразу извиняеюсь если нет, а то я его не очень понял

А, у вас модем отдельно, маршрутизатор отдельно. А модем какой модели? Он модем или умеет быть маршрутизатором?

Сколько сетевых подключений у вас в сетевом окружении? Где вы кнопку жмёте для подключения?

Модем D-Link DSL-300T (Только модем)
Router D-Link DIR-400
USB Wi-Fi Adapter D-Link DWA-140

На каком компе вас инетресует количество сетевых подключений?
На Роутере есть такая кнопочка. Сперва надо в драйверах адаптера выбрать Connection Manager, и там выбрать подключение к сети одной кнопкой. Там начинался отсчёт 60 сек, на протяжении которых я должен нажать на кнопочку на роутере, что б установить между ними автоматическую связь.
И всё. интернет появляется на втором компе.

Ой как сложно... Я бы модем с роутером заменил на один комбинированный девайс. Получите независимость компьютеров плюс гарантированное прикрытие домашней сети железным файрволом. А сейчас у меня есть подозрение, что интернет приходит прямо на ведущий компьютер, минуя навороты маршрутизатора. По программному PPPoE-соединению. Хотя, возможно, я и неправ, мне через Сумрак плохо видно. А если таки прав, то к вам звери могли и из интернета лезть.

[quote=pig;322971]Ой как сложно... Я бы модем с роутером заменил на один комбинированный девайс. Получите независимость компьютеров плюс гарантированное прикрытие домашней сети железным файрволом. А сейчас у меня есть подозрение, что интернет приходит прямо на ведущий компьютер, минуя навороты маршрутизатора. По программному PPPoE-соединению. Хотя, возможно, я и неправ, мне через Сумрак плохо видно. А если таки прав, то к вам звери могли и из интернета лезть.[/quote]

Ну у меня второй комп появился совсем недавно, а до того в роутере не было потребности. Папа этот роутер купил в России. Пока что и так сойдёт, а там дальше посмотрим.

После того как я доступ к папкам закрыл - вирус больше не появлялся. Но меня смущает именно тот факт, что когда они открыты для полного доступа из сети, то вирус на них попадал каким-то образом в обход Анитивируса. Ведь файлы уже появлялись на диске, а Касперский по идеи должен был бы запретить их запись на диск, если в них вирус, ну или типа того что-то...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]