-
Junior Member
- Вес репутации
- 47
Поймал вирус, вставив SD флешку и запустив ярлык в её корне
Сразу когда запустил ярлык папки DCIM, обнаружил странное поведение системы. Появление нового окна проводника целевой папки. В диспетчере задач подозрительные процессы, типа mamita.exe и hakunamatata.exe . Процессы удалил и продолжил работать, т.к. времени на разборы не было. После запустил cureit. В защищённом режиме не довёл проверку до конца. Вирусы были, неизлечимые удалял. На следующий день запустил cureit в незащищённом режиме и дождался окончания. После проверки, опять же, неизлечимые удалил.
Заранее благодарю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) pyramber, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\abc\mamita.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\abc\mamita.exe','');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\abc\mamita.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Hekakh.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Hekakh.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hekakh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 47
Файл quarantine.zip с паролем отослал.
Новые логи прикрепляю.
-
Сейчас чтонибудь беспокоит?
-
-
Junior Member
- Вес репутации
- 47
Видимо - нет.
Единственное - что делать с зараженными SD флешками? Фотоаппарат не может с ними работать; сообщает, что невозможно создать папку. И собственные папки DCIM (для сохранения фотографий) не видит. С помощью той или иной программы, например XnView, да или даже просто вводя в адресной строке проводника путь к этой папке (F:\DCIM\) я получаю доступ к содержимому.
Не приведёт ли проверка и лечение с помощью утилиты cureit к потере нужной информации?
Одну из флешек вчера (по необходимости) реанимировал переносом данных на жесткий диск и последующим форматированием флешки.
Поступить аналогичным образом с остальными заражёнными флешками, либо таки cureit использовать?
Заранее благодарю!
-
Сообщение от
pyramber
либо таки cureit использовать?
Лучше так, либо просканируйте флешки программой МВАМ. А лог покажите нам.
-
-
Junior Member
- Вес репутации
- 47
Cureit не нашёл ничего на флешке в усиленном режиме.
Ярлыки на флешке ссылаются на C:\WINDOWS\system32 .
Сейчас работает MBAM. Лог выложу.
Но наиболее рациональным представляется способ с форматированием, поскольку флешка не одна, а проверяет MBAM прилично долго (Или при необходимости проверять остальные SD флешки, можно будет уже не запускать Полной проверки? ограничившись лишь выбором, собственно, целевой флешки).
-
Сообщение от
pyramber
Или при необходимости проверять остальные SD флешки, можно будет уже не запускать Полной проверки? ограничившись лишь выбором, собственно, целевой флешки
Да, думаю так и нужно делать.
-
-
Junior Member
- Вес репутации
- 47
-
Удалите в МВАМ -
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSConfig (Backdoor.Agent.H) -> Value: MSConfig -> No action taken.
Зараженные папки:
c:\documents and settings\администратор\local settings\Temp\abc (Trojan.Downloader) -> No action taken.
Зараженные файлы:
c:\documents and settings\администратор\hjiqyj.exe (Backdoor.Agent.H) -> No action taken.
c:\documents and settings\администратор\application data\1E5.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\application data\1E6.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\application data\1F6.tmp (Backdoor.IRCBot) -> No action taken.
c:\documents and settings\администратор\application data\5.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\application data\6.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\start menu\Programs\Startup\hahahahaha.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{07149167-6371-4040-b014-f755b0370133}\RP761\A0167179.exe (Trojan.Dropper) -> No action taken.
f:\RECYCLER\f4448e25.exe (Backdoor.IRCBot) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\abc\hakonamatata.cmd (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\abc\hsbc.exe (Trojan.Downloader) -> No action taken.
c:\kdfe.cmd (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\secupdat.dat (Worm.Autorun) -> No action taken.
Сделайте новый лог
-
-
Junior Member
- Вес репутации
- 47
-
Вроде всё удалилось. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 47
По прежнему ярлыки в корне флешки. Вместо папок.
-
Флешка это диск F:\ ? Сканировали его отдельно Куритом или МВАМ ?
-
-
Junior Member
- Вес репутации
- 47
Да, верно. Флешка это диск F:\.
Cureit не обнаружил ничего. MBAM отдельно не сканировал, только при полном.
-
1. С помощью Total Commander, с включенной в его настройках опцией показа скрытых и системных файлов, (Файлы - Изменить атрибуты) убрать атрибут "скрытый" у настоящих папок
2. Удалить все ярлыки, которые появились вместо настоящих папок
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 47
Благодарен!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\hekakh.exe - Backdoor.Win32.Poison.cpwu ( DrWEB: Trojan.PWS.Multi.224, BitDefender: Trojan.Generic.KDV.309239, NOD32: Win32/Spy.SpyEye.CA trojan )
- c:\\docume~1\\9335~1\\locals~1\\temp\\abc\\mamita. exe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )
-