Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 45.

вирус Worm.Win32.Autorun.byt а может не он (заявка № 18277)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59

    Thumbs up вирус Worm.Win32.Autorun.byt а может не он

    Вирус Worm.Win32.Autorun.byt овладел компом на работе. Суть в том что при вставке флэшки на ней всегда появляются 2 файла : 1) autorun.inf 2) (меняющееся имя).dll. Почему я написал название- потому что так его определил Касперский 7.0, когда я принес флешку домой и просканировал ее. Что можно сделать, как излечиться от вируса, помогите пожалуйста! Логи прилагаю!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\oinnls.dll','');
     DeleteFile('G:\autorun.inf');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18277

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Флешку до окончания лечения лучше не вставлять и запускать AVZ прямо с жесткого диска.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    Спасибо большое, все это проделал в указанной последовательности, но флешку забыл вытащить, и в конце процедуры решил посмотреть что получилось- оказалось то же самое: два файла на флеше. Теперь флешку вытащил, проделал все еще раз ( не знаю поможет во-второй раз или нет), карантин высылать не стал, думаю что то же самое. Во-второй раз при фиксаньи данной строки уже не было, но может была какая другая, про которую я не знаю? И вообще, помогут ли данные действия во-второй раз?

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Могут помочь. Но действенный алгоритм такой: Отключить автозапуск для флешек. Выполняешь скрипт из сообщения 2.
    Либо второй вариант:
    вставляешь флешку и запускаешь AVZ. станд. скрипт №2, поиск файлов на диске, ищем autorun.inf, удаляем его.

    Сейчас посмотрю, что он пытался запускать и напишу имя файла, которого надо найти и удалить с флешки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скрипт для отключения флешки во вложении.
    Вложения Вложения
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    Вообщем ничего не получилось. Действовал так:
    1) как отключить автозапуск не сообразил, или он опять включился.
    2) при вставленной флешке(огнек горит) выполнил в AVZ скрипт на отключение флешек во вложении (не знаю что это такое). При этом файлы с флешки не удалял (их всего 2, оба -файлы вируса)
    3) Далее выполнил скрипт 1 (самый первый в этой теме)
    4) комп перезагрузился, строки не фиксил (не знаю какие)
    5) на флешке 1 файл с расш. .dll- удалил его
    6) вынул флешку, вставил- опять 2 файла.
    Что я сделал не так, какие логи прислать еще, и как отключить авторан?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Когда вставляешь флешку высвечивается окно с выбором действий? Если нет, то автозапуск отключен.
    Из вложения надо было вставить весь текст, как скрипт в AVZ и запустить. Можно повторить это дело еще раз.

    На "С" autorun.inf есть? Если да, то его надо удалить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    Ничего не получается. На этот раз действовал так:
    1) вставил флешку, при вставке никаких действий запрошено не было, ничего само не открывалось.
    2) из вложения выполнил скрипт на отключение флешки- скрипт выполнился без ошибок
    3) открыл флешку( наверное не надо было) удалил 2 файла- autirun.inf и ().dll
    4) выполнил самый первый скрипт, комп перезагрузился, флешка торчала, лампочка в ней горела.
    5) после перезагруза на флешке 1 файл ().dll
    6) вынул- вставил- опять 2 файла.
    Что делать? На "С" autorun.inf не нашел в корне, может где еще?

    Добавлено через 30 минут

    Кстати, возможно это один из симптомов, возможно -нет, но не выключается служба удаленного реестра.

    Добавлено через 17 минут

    Нет, прошу прощения, кажется выключается.
    Последний раз редактировалось Mix_; 20.02.2008 в 17:49. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    А зачем открывал флешку (п.3)? На это добра не давали. Если уж очень хочется, то можно было открыть с нажатым Shift.

    Просто вставляешь флешку и НЕ ОТКРЫВАЯ ЕЕ через AVZ удаляешь эти два файла, предварительно выполнив станд. скрипт №1
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    НОД 32 в принципе может его поймать?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скорее нод его не знает ...

  14. #13
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    А он вообще-сетевой. Т.е. нужно при лечении отключать сеть, закрывать все общедоступные папки?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, если есть папки на других с доступом на "запись".

    Спокойнее, когда отключившись от всего лечишься. Вторым этапом можно лечиться со включенной сетью.

    Его ловит Доктор 4.44 с последними базами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    Ну, вроде вылечился! Спасибо! Можно ли прислать последний карантин? Не понятно что в Windows Installere там такое? Все другие файлы данных я удалил, а эти не знаю стоит трогать или нет? Еще раз спасибо!

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    каранти можно прислать .... Windows Installer скорее чистый ... бывает авз излишне подозрителен

  18. #17
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    Выручите, пожалуйста, еще раз. Вылеченный комп опять заразил, вставив чужую флэшку, и не проверив ее перед этим. Все те же два файла, но мне кажется что скрипт для поиска файла oinnls.dll уже не работает, т.к. такого файла в System32 уже нет. Пытался проделать те же действия и не имел успеха. Теперь на будущее постараюсь проверять каждую флешку.

    Добавлено через 1 минуту

    Кстати, отправить карантин почему-то не получилось. Говорит что превышен размер отправляемого файла 470(?) КБ.
    Последний раз редактировалось Mix_; 27.02.2008 в 09:47. Причина: Добавлено

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сделайте комплект логов ...

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Mix_ Посмотреть сообщение
    Кстати, отправить карантин почему-то не получилось. Говорит что превышен размер отправляемого файла 470(?) КБ.
    Через "мой кабинет" http://virusinfo.info/usercp.php
    можно удалить лишние логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    19.02.2008
    Сообщений
    35
    Вес репутации
    59
    Логи послал.
    Вложения Вложения

  • Уважаемый(ая) Mix_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Вирус Worm.Win32.AutoRun.hkk
      От kingring1978 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.01.2011, 12:33
    2. вирус Worm.Win32.AutoRun.hij
      От GavrGal в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.12.2010, 10:37
    3. вирус Worm.Win32.AutoRun.hij (заявка №30570)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 19.11.2010, 06:00
    4. Подозрение на вирус Worm.Win32.AutoRun.bnq
      От ВладимирВ в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 22.02.2009, 03:38
    5. Autorun.inf вирус 'Worm.Win32.AutoRun.bua'.
      От Игорь в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 28.10.2008, 00:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00660 seconds with 18 queries