Вирус Worm.Win32.Autorun.byt овладел компом на работе. Суть в том что при вставке флэшки на ней всегда появляются 2 файла : 1) autorun.inf 2) (меняющееся имя).dll. Почему я написал название- потому что так его определил Касперский 7.0, когда я принес флешку домой и просканировал ее. Что можно сделать, как излечиться от вируса, помогите пожалуйста! Логи прилагаю!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо большое, все это проделал в указанной последовательности, но флешку забыл вытащить, и в конце процедуры решил посмотреть что получилось- оказалось то же самое: два файла на флеше. Теперь флешку вытащил, проделал все еще раз ( не знаю поможет во-второй раз или нет), карантин высылать не стал, думаю что то же самое. Во-второй раз при фиксаньи данной строки уже не было, но может была какая другая, про которую я не знаю? И вообще, помогут ли данные действия во-второй раз?
Могут помочь. Но действенный алгоритм такой: Отключить автозапуск для флешек. Выполняешь скрипт из сообщения 2.
Либо второй вариант:
вставляешь флешку и запускаешь AVZ. станд. скрипт №2, поиск файлов на диске, ищем autorun.inf, удаляем его.
Сейчас посмотрю, что он пытался запускать и напишу имя файла, которого надо найти и удалить с флешки.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Вообщем ничего не получилось. Действовал так:
1) как отключить автозапуск не сообразил, или он опять включился.
2) при вставленной флешке(огнек горит) выполнил в AVZ скрипт на отключение флешек во вложении (не знаю что это такое). При этом файлы с флешки не удалял (их всего 2, оба -файлы вируса)
3) Далее выполнил скрипт 1 (самый первый в этой теме)
4) комп перезагрузился, строки не фиксил (не знаю какие)
5) на флешке 1 файл с расш. .dll- удалил его
6) вынул флешку, вставил- опять 2 файла.
Что я сделал не так, какие логи прислать еще, и как отключить авторан?
Когда вставляешь флешку высвечивается окно с выбором действий? Если нет, то автозапуск отключен.
Из вложения надо было вставить весь текст, как скрипт в AVZ и запустить. Можно повторить это дело еще раз.
На "С" autorun.inf есть? Если да, то его надо удалить.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Ничего не получается. На этот раз действовал так:
1) вставил флешку, при вставке никаких действий запрошено не было, ничего само не открывалось.
2) из вложения выполнил скрипт на отключение флешки- скрипт выполнился без ошибок
3) открыл флешку( наверное не надо было) удалил 2 файла- autirun.inf и ().dll
4) выполнил самый первый скрипт, комп перезагрузился, флешка торчала, лампочка в ней горела.
5) после перезагруза на флешке 1 файл ().dll
6) вынул- вставил- опять 2 файла.
Что делать? На "С" autorun.inf не нашел в корне, может где еще?
Добавлено через 30 минут
Кстати, возможно это один из симптомов, возможно -нет, но не выключается служба удаленного реестра.
Добавлено через 17 минут
Нет, прошу прощения, кажется выключается.
Последний раз редактировалось Mix_; 20.02.2008 в 17:49.
Причина: Добавлено
Ну, вроде вылечился! Спасибо! Можно ли прислать последний карантин? Не понятно что в Windows Installere там такое? Все другие файлы данных я удалил, а эти не знаю стоит трогать или нет? Еще раз спасибо!
Выручите, пожалуйста, еще раз. Вылеченный комп опять заразил, вставив чужую флэшку, и не проверив ее перед этим. Все те же два файла, но мне кажется что скрипт для поиска файла oinnls.dll уже не работает, т.к. такого файла в System32 уже нет. Пытался проделать те же действия и не имел успеха. Теперь на будущее постараюсь проверять каждую флешку.
Добавлено через 1 минуту
Кстати, отправить карантин почему-то не получилось. Говорит что превышен размер отправляемого файла 470(?) КБ.
Последний раз редактировалось Mix_; 27.02.2008 в 09:47.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: