-
Junior Member
- Вес репутации
- 62
Вирус AVATAR
Вирус из серии "autorun". Зараженный компьютер создает на любом ЮСБ носителе папку AVATAR (название точно не помню там название типа это фильм скачанный, ну например avatar.xvid.dvdrip.team и так далее) в этой папке лежит экзе файл + в корне флешки создается файл авторан.
Удалить папку нельзя, если повторно вставить флешку папку можно удалить а файл авторан не удаляется. Удалить можно только на не зараженном компьютере. Ни один антивирусник его не находит, в интернете ничего на эту тему найти не могу из за распространенного названия. Вместо вируса везде пишут про кино с одноименным названием. Прошу помочь. Логи прилагаю.
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте свежую версию AVZ:
http://z-oleg.com/avz4.zip
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zemecf1.dll','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\Desktop.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe,explorer.exe,C:\Documents and Settings\user\csrss.exe','');
QuarantineFile('C:\Documents and Settings\user\csrss.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\nwlnk2k.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ipfltdex.sys','');
QuarantineFile('C:\WINDOWS\system32\EuGdiDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\epmntdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
QuarantineFile('c:\program files\cl\budstandart\server\svcinfolib.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
DeleteFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe');
DeleteFile('C:\Documents and Settings\user\csrss.exe');
DeleteFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe,explorer.exe,C:\Documents and Settings\user\csrss.exe');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\Desktop.exe');
DeleteFile('C:\WINDOWS\system32\zemecf1.dll');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 62
логи повторно после выполнения скрипта.
карантин выслал.
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
Больше плохого не нашел.
Что сейчас с проблемами?
Так же рекомендую:
Установите обновления, вышедшие после SP3.
Обновите Internet Explorer до актуальной версии (даже если не используете).
-
-
Junior Member
- Вес репутации
- 62
Проверил на двух флешках, Аватара нет. Огромное Вам спасибо.
Обновления сделаю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 71
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\application data\\zkdrzi.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.Siggen1.27214, BitDefender: Gen:Trojan.Heur.mq0@s98GqBBab, NOD32: Win32/Inject.NDO trojan, AVAST4: Win32:VB-QSB [Drp] )
- c:\\documents and settings\\user\\главное меню\\программы\\автозагрузка\\desktop.exe - Trojan-Clicker.Win32.Delf.das ( DrWEB: Trojan.Click.41814, BitDefender: Worm.Generic.228458, NOD32: Win32/AutoRun.Delf.FH worm, AVAST4: Win32:Malware-gen )
- c:\\docume~1\\admin~1.mic\\locals~1\\temp\\svchost .exe - Trojan-Spy.Win32.Wemon.sd ( DrWEB: Trojan.PWS.Spy.12264, BitDefender: Trojan.Fakealert.15113, NOD32: Win32/TrojanDownloader.Delf.PTE trojan, AVAST4: Win32:Carmapic-A [Trj] )
- c:\\windows.0\\system32\\guyxumg.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6203310, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-