W32.vb.el (модиф.)
Инфицированный файлы:
C:\WINDOWS\system32\socksa.exe - модифицированный Win32/VB.EL червь
C:\WINDOWS\svchost.exe - модифицированный Win32/VB.EL червь
Антивирус - Nod32
Как ясно из описания вируса в интернете: пропадают все скрытые файлы и включить их невозможно через свойства папки. Так же жесткие диски с моего компютера запускаются с автозапуском и видимо клонируют все что было удалено антивирем.
Заранее благодарю за помощь
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Базы AVZ не обновили. (пунк 4 Правил)
Утилитой CureIt компьютер не проверяли? А надо было бы. ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe
Логи надо было делать не в Режиме защиты от сбоев (safemode), а в нормальном.
Повторите, пожалуйста, логи AVZ в обычном режиме (не в safe mode) Если создание логов в обычном режиме по каким-то причинам невозможно, сделайте дополнительные логи, о которых написано здесь - http://virusinfo.info/showthread.php?t=10387
Спасибо, в следующий раз учту
Вирус был вылечен cureit, и удален bat файликом следующего содержания:
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg Delete
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced /v
ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* fun.xls.exe /f /q /as
del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
/as
del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log
del d:\autorun.* fun.xls.exe /f /q /as
del e:\autorun.* fun.xls.exe /f /q /as
del f:\autorun.* fun.xls.exe /f /q /as
del g:\autorun.* fun.xls.exe /f /q /as
del h:\autorun.* fun.xls.exe /f /q /as
del i:\autorun.* fun.xls.exe /f /q /as
del j:\autorun.* fun.xls.exe /f /q /as
del k:\autorun.* fun.xls.exe /f /q /as
del l:\autorun.* fun.xls.exe /f /q /as
start explorer.exe
Странный народ. Раздел называется "Помогите", а лечатся руками.
Думаю не до конца.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде нормальная ситуация. Люди в панике приходят сюда, читают фак(или не читают), не замечая подробностей и в результате долго тупят. CureIt вот оказалось надо не в экспресс режиме запускать
P.S. Зачем думать не до конца ?
Думаю не до конца вылечиваются. Сорри, что не дописал.Сообщение от xvras
Вроде нормальная ситуация. Люди в панике приходят сюда, читают фак(или не читают), не замечая подробностей и в результате долго тупят. CureIt вот оказалось надо не в экспресс режиме запускать
P.S. Зачем думать не до конца ?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) xvras, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
