Показано с 1 по 14 из 14.

autorun.inf и n1deiect.com (заявка № 15322)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2007
    Сообщений
    7
    Вес репутации
    37

    Thumbs up autorun.inf и n1deiect.com

    Проблема напоминает эту http://virusinfo.info/showthread.php?t=15189
    Вирус попал на mp3плеер(который исп-ся и в качестве флешки, при этом сам плеер тоже теперь не функционирует даже после форматирования), оттуда-на домашний компьютер. На каждом локальном диске и на плеере появляются эти 2 файла, ничем в принципе не мешают, через неск секунд после удаления востанавл-ся.
    Стоял Avast, он реагирует на файлы autorun, удаляет их но, видимо сам источник не трогает и автораны появляются снова. Сносил аваст и ставил drWeb. Тот же результат.
    Вирус не дает установить настройку "показывать скрытые файлы", их можно увидеть теперь только в Total comandor
    Отключал восстановление системы, загружал безопасный режим и пытался найти вручную что-нибудь похожее в system32, но не нашел.
    Инструкцию вконце http://virusinfo.info/showthread.php?t=15189 пробовал-не помогло. Прошу помочь, причем не только с компом, но и плеером!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    выполните скрипт .....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('J:\autorun.inf','');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\xRaidSetup.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\wincab.sys');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('H:\autorun.inf');
     DeleteFile('I:\autorun.inf');
     DeleteFile('J:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  4. #3
    Junior Member Репутация
    Регистрация
    15.12.2007
    Сообщений
    7
    Вес репутации
    37
    Пофиксил и загрузил virus.zip

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\WINDOWS\system32\amvo0.dll TR/Crypt.NSPM.Gen
    C:\WINDOWS\system32\xRaidSetup.exe- пока никем не детектинся .... подождем вирлаб
    C:\WINDOWS\system32\amvo.exe TR/Crypt.NSPM.Gen
    выполните скрипт...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    n1deiect.com - поищите при помощи AVZ -ceрвис- поиск файлов на диске ... и удалите ...
    выполните http://virusinfo.info/showthread.php?t=8877
    повторите логи ....

  6. #5
    Junior Member Репутация
    Регистрация
    15.12.2007
    Сообщений
    7
    Вес репутации
    37
    Все выполнил, спасибо, все выглядит нормально... Плеер отформатировать, или что с ним сделать?
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    остается один подозрительный файл ..... пока придет ответ вирлаба давайте разберемся с этим ....
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Таймаут завершения служб находится за пределами допустимых значений

  8. #7
    Junior Member Репутация
    Регистрация
    15.12.2007
    Сообщений
    7
    Вес репутации
    37
    Выполнил мастер исправления проблем. Что скажите?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Восстановление системы: включено / отключите...
    из этого что используется
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  10. #9
    Junior Member Репутация
    Регистрация
    15.12.2007
    Сообщений
    7
    Вес репутации
    37
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    Я бы вот это оставил. Повторю вопрос-плеер форматировать, как это сделать так, что бы вирус снова на комп не попал? Просто не открывать его деректорию левым щелчком мыши?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    тогда это будет выглядеть так ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  12. #11
    Junior Member Репутация
    Регистрация
    15.12.2007
    Сообщений
    7
    Вес репутации
    37
    Готово!
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Обновите антивирус, включите плейер зажав shift. Откройте его в Тотале, включив показ скрытых файлов, удалите файлы вируса (autorun.inf и n1deiect.com и т.д.). Если не поможет, то наверное форматирование или лучше сброс к заводским установкам, см. инструкцию.

    был Trojan-PSW.Win32.OnLineGames.kxk
    Последний раз редактировалось Alex_Goodwin; 16.12.2007 в 15:58.

  14. #13
    Junior Member Репутация
    Регистрация
    15.12.2007
    Сообщений
    7
    Вес репутации
    37
    ну, теперь его там нет, спасибо еще раз.

    Плеер все равно не работает-видимо при форматировании пропали и системные папки, сброс к заводским установкам невозможен по субьективным причинам. Если не разберусь, наверно в сервисный центр его закину.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)
      2. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.kxk (DrWEB: Trojan.PWS.Wsgame.2387)
      3. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.kxk (DrWEB: Trojan.PWS.Wsgame.2387)
      4. e:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)
      5. h:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)
      6. i:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)
      7. j:\\autorun.inf - Worm.Win32.AutoRun.asb (DrWEB: Win32.HLLW.Autoruner.1019)


  • Уважаемый(ая) Gerard15, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Надоедливый autorun.inf и n1deiect.com ))
      От Efreet в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 03:10
    2. После обнаружения и удаления autorun.inf и n1deiect.com
      От Варвара в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 03:10
    3. n1deiect.com
      От JIEXA77 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:04
    4. Ответов: 4
      Последнее сообщение: 19.03.2008, 09:42
    5. Помогите с n1deiect.com
      От Fallen Angel в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 19.12.2007, 16:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01360 seconds with 17 queries