Показано с 1 по 19 из 19.

Поймал вирус, вставив SD флешку и запустив ярлык в её корне (заявка № 106981)

  1. #1
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47

    Thumbs up Поймал вирус, вставив SD флешку и запустив ярлык в её корне

    Сразу когда запустил ярлык папки DCIM, обнаружил странное поведение системы. Появление нового окна проводника целевой папки. В диспетчере задач подозрительные процессы, типа mamita.exe и hakunamatata.exe . Процессы удалил и продолжил работать, т.к. времени на разборы не было. После запустил cureit. В защищённом режиме не довёл проверку до конца. Вирусы были, неизлечимые удалял. На следующий день запустил cureit в незащищённом режиме и дождался окончания. После проверки, опять же, неизлечимые удалил.
    Заранее благодарю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) pyramber, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\abc\mamita.exe');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\abc\mamita.exe','');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\abc\mamita.exe');  
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Hekakh.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Hekakh.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hekakh');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте новые логи

  5. #4
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    Файл quarantine.zip с паролем отослал.
    Новые логи прикрепляю.

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Сейчас чтонибудь беспокоит?

  7. #6
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    Видимо - нет.
    Единственное - что делать с зараженными SD флешками? Фотоаппарат не может с ними работать; сообщает, что невозможно создать папку. И собственные папки DCIM (для сохранения фотографий) не видит. С помощью той или иной программы, например XnView, да или даже просто вводя в адресной строке проводника путь к этой папке (F:\DCIM\) я получаю доступ к содержимому.
    Не приведёт ли проверка и лечение с помощью утилиты cureit к потере нужной информации?
    Одну из флешек вчера (по необходимости) реанимировал переносом данных на жесткий диск и последующим форматированием флешки.
    Поступить аналогичным образом с остальными заражёнными флешками, либо таки cureit использовать?
    Заранее благодарю!

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от pyramber Посмотреть сообщение
    либо таки cureit использовать?
    Лучше так, либо просканируйте флешки программой МВАМ. А лог покажите нам.

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    Cureit не нашёл ничего на флешке в усиленном режиме.
    Ярлыки на флешке ссылаются на C:\WINDOWS\system32 .
    Сейчас работает MBAM. Лог выложу.
    Но наиболее рациональным представляется способ с форматированием, поскольку флешка не одна, а проверяет MBAM прилично долго (Или при необходимости проверять остальные SD флешки, можно будет уже не запускать Полной проверки? ограничившись лишь выбором, собственно, целевой флешки).

  11. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от pyramber Посмотреть сообщение
    Или при необходимости проверять остальные SD флешки, можно будет уже не запускать Полной проверки? ограничившись лишь выбором, собственно, целевой флешки
    Да, думаю так и нужно делать.

  12. #10
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    Лог MBAM.

  13. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в МВАМ -

    Код:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSConfig (Backdoor.Agent.H) -> Value: MSConfig -> No action taken.
    
    Зараженные папки:
    c:\documents and settings\администратор\local settings\Temp\abc (Trojan.Downloader) -> No action taken.
    
    Зараженные файлы:
    c:\documents and settings\администратор\hjiqyj.exe (Backdoor.Agent.H) -> No action taken.
    c:\documents and settings\администратор\application data\1E5.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\администратор\application data\1E6.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\администратор\application data\1F6.tmp (Backdoor.IRCBot) -> No action taken.
    c:\documents and settings\администратор\application data\5.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\администратор\application data\6.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\администратор\start menu\Programs\Startup\hahahahaha.exe (Trojan.Dropper) -> No action taken.
    c:\system volume information\_restore{07149167-6371-4040-b014-f755b0370133}\RP761\A0167179.exe (Trojan.Dropper) -> No action taken.
    f:\RECYCLER\f4448e25.exe (Backdoor.IRCBot) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\abc\hakonamatata.cmd (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\abc\hsbc.exe (Trojan.Downloader) -> No action taken.
    c:\kdfe.cmd (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
    c:\documents and settings\администратор\secupdat.dat (Worm.Autorun) -> No action taken.
    Сделайте новый лог

  14. #12
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    Новый лог MBAM.

  15. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Вроде всё удалилось. Что с проблемой?

  16. #14
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    По прежнему ярлыки в корне флешки. Вместо папок.

  17. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Флешка это диск F:\ ? Сканировали его отдельно Куритом или МВАМ ?

  18. #16
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    Да, верно. Флешка это диск F:\.
    Cureit не обнаружил ничего. MBAM отдельно не сканировал, только при полном.

  19. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    1. С помощью Total Commander, с включенной в его настройках опцией показа скрытых и системных файлов, (Файлы - Изменить атрибуты) убрать атрибут "скрытый" у настоящих папок
    2. Удалить все ярлыки, которые появились вместо настоящих папок
    Paula rhei.
    Поддержать проект можно тут

  20. Это понравилось:


  21. #18
    Junior Member Репутация
    Регистрация
    06.08.2011
    Сообщений
    24
    Вес репутации
    47
    Благодарен!

  22. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\application data\\hekakh.exe - Backdoor.Win32.Poison.cpwu ( DrWEB: Trojan.PWS.Multi.224, BitDefender: Trojan.Generic.KDV.309239, NOD32: Win32/Spy.SpyEye.CA trojan )
      2. c:\\docume~1\\9335~1\\locals~1\\temp\\abc\\mamita. exe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )


  • Уважаемый(ая) pyramber, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус (заражение через флешку)
      От Sbc в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.12.2010, 07:55
    2. Вирус скопировавшейся на флешку
      От Арсений111 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.09.2010, 22:43
    3. Вирус заблокировал флешку
      От protak в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.12.2009, 10:21
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 08:04
    5. Вирус через флешку
      От mmv в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.01.2008, 19:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00204 seconds with 17 queries