Junior Member
Вес репутации
60
Вирусня в автозапуске
И снова вирус, в автозапуске, не дает увидеть скрытые файлы. Логи прикладываю. Вопрос, возможно-ли кхм... в краткие сроки научиться составлять простейшие скрипты на удаление и карантин файлов, ну и разумеется на чтение тех логов что прикладываю ? =)
Некоторое время назад я уже обращался, подлечился, но вставив флешку принесенную из инста, новь заразился. Потому и хочу чтобы каждый раз не дергать хелперов, самому научиться составлять простейшие скрипты...
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfashtg', 4);
StopService('zxsderfbukjfyshlhdfrstdzhdfashtg');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\x.com','');
QuarantineFile('D:\0hct8ybw.bat','');
QuarantineFile('C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download\fpsetup.exe','');
QuarantineFile('C:\x.com','');
QuarantineFile('C:\d6fagcs8.cmd','');
QuarantineFile('C:\0hct8ybw.bat','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\0hct8ybw.bat');
DeleteFile('C:\d6fagcs8.cmd');
DeleteFile('C:\x.com');
DeleteFile('D:\0hct8ybw.bat');
DeleteFile('D:\x.com');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteService('zxsderfbukjfyshlhdfrstdzhdfashtg');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18057
Добавлено через 36 секунд
Повторите логи
Добавлено через 35 секунд
G: - это флешка?
Последний раз редактировалось akoK; 14.02.2008 в 18:46 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
Выполнил скрипт, логи прислал. вирусню в опере темпорари загрузках нашел... точнее подозрение. да Ж это флешка, решил ее тож почистить... хотяб на время будет без вирусни =)
А стесняюсь спросить, а куда вы логи послали? Как долго они будут возвращаться из ТОГО места?
Добавлено через 1 минуту
Это поможет немного обезопаситься от авторанов
http://virusinfo.info/showthread.php?t=16459
Последний раз редактировалось akoK; 14.02.2008 в 21:40 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
А карантин загружали или он в том же месте где и логи
Junior Member
Вес репутации
60
Логи отсылал по сылке приложенной выше. счас прицеплю по простецки, к посту =) Сейчас по ссылке на самом верху тыркаю карантинчик.
Вложения
C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download \fpsetup.exe not-a-virus:AdToll.Win32.TMAagent.i
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Vuh\Application Data\Opera\Opera\profile\cache4\temporary_download\fpsetup.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
Junior Member
Вес репутации
60
По логам кажется все ок, пока спасибо что помогли =)
Сообщение от
Вух
По логам кажется все ок, пока спасибо что помогли =)
пока пожалуйста ... думаю что с таким отношением к безопасности ... до скорой встречи ...
Junior Member
Вес репутации
60
Я уже много раз говорил, у мну вся эта зараза идет с флешки, которую периодически нун втыкать в институтский комп. А сам я белый и пушистый =)
Junior Member
Вес репутации
60
Большое спасибо. Я уже просто врубал программу ТвикУи, но флешка все равно автораннулась... =/
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 37 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286) c:\\documents and settings\\vuh\\application data\\opera\\opera\\profile\\cache4\\temporary_dow nload\\fpsetup.exe - not-a-virus:WebToolbar.Win32.TMAagent.i c:\\d6fagcs8.cmd - Trojan-GameThief.Win32.OnLineGames.ypa (DrWEB: Trojan.MulDrop.6474) c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.MulDrop.6474) c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.PWS.Wsgame.2387) c:\\x.com - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.MulDrop.6474) c:\\0hct8ybw.bat - Trojan-GameThief.Win32.OnLineGames.ypa (DrWEB: Trojan.MulDrop.6474) d:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286) d:\\x.com - Trojan-GameThief.Win32.OnLineGames.rbj (DrWEB: Trojan.MulDrop.6474) d:\\0hct8ybw.bat - Trojan-GameThief.Win32.OnLineGames.ypa (DrWEB: Trojan.MulDrop.6474) g:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286)