Показано с 1 по 6 из 6.

Вирус AVATAR (заявка № 92500)

  1. #1
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    62

    Thumbs up Вирус AVATAR

    Вирус из серии "autorun". Зараженный компьютер создает на любом ЮСБ носителе папку AVATAR (название точно не помню там название типа это фильм скачанный, ну например avatar.xvid.dvdrip.team и так далее) в этой папке лежит экзе файл + в корне флешки создается файл авторан.
    Удалить папку нельзя, если повторно вставить флешку папку можно удалить а файл авторан не удаляется. Удалить можно только на не зараженном компьютере. Ни один антивирусник его не находит, в интернете ничего на эту тему найти не могу из за распространенного названия. Вместо вируса везде пишут про кино с одноименным названием. Прошу помочь. Логи прилагаю.
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Скачайте свежую версию AVZ:
    http://z-oleg.com/avz4.zip

    Обновите базы AVZ.
    Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
    и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

    Отключите интернет.
    Выгрузите/отключите антивирус/файрволл.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\zemecf1.dll','');
     QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\Desktop.exe','');
     QuarantineFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe,explorer.exe,C:\Documents and Settings\user\csrss.exe','');
     QuarantineFile('C:\Documents and Settings\user\csrss.exe','');
     QuarantineFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nwlnk2k.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ipfltdex.sys','');
     QuarantineFile('C:\WINDOWS\system32\EuGdiDrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\epmntdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
     QuarantineFile('c:\program files\cl\budstandart\server\svcinfolib.exe','');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
     DeleteFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe');
     DeleteFile('C:\Documents and Settings\user\csrss.exe');
     DeleteFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe,explorer.exe,C:\Documents and Settings\user\csrss.exe');
     DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\Desktop.exe');
     DeleteFile('C:\WINDOWS\system32\zemecf1.dll');
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Запустите/включите антивирус/файрволл.
    Подключите интернет.

    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    62
    логи повторно после выполнения скрипта.
    карантин выслал.
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Больше плохого не нашел.
    Что сейчас с проблемами?

    Так же рекомендую:
    Установите обновления, вышедшие после SP3.
    Обновите Internet Explorer до актуальной версии (даже если не используете).
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    62
    Проверил на двух флешках, Аватара нет. Огромное Вам спасибо.

    Обновления сделаю.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 71
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\user\\application data\\zkdrzi.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.Siggen1.27214, BitDefender: Gen:Trojan.Heur.mq0@s98GqBBab, NOD32: Win32/Inject.NDO trojan, AVAST4: Win32:VB-QSB [Drp] )
      2. c:\\documents and settings\\user\\главное меню\\программы\\автозагрузка\\desktop.exe - Trojan-Clicker.Win32.Delf.das ( DrWEB: Trojan.Click.41814, BitDefender: Worm.Generic.228458, NOD32: Win32/AutoRun.Delf.FH worm, AVAST4: Win32:Malware-gen )
      3. c:\\docume~1\\admin~1.mic\\locals~1\\temp\\svchost .exe - Trojan-Spy.Win32.Wemon.sd ( DrWEB: Trojan.PWS.Spy.12264, BitDefender: Trojan.Fakealert.15113, NOD32: Win32/TrojanDownloader.Delf.PTE trojan, AVAST4: Win32:Carmapic-A [Trj] )
      4. c:\\windows.0\\system32\\guyxumg.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6203310, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) sir-gorgoroth, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00272 seconds with 16 queries