-
Junior Member
- Вес репутации
- 58
autorun.inf и explorer.exe на всех дисках
Здравствуйте.
На всех дисках компьютера фалйы autorun.inf и explorer.exe. Удалить или невозможно или сразу востанавливаются.
Вирус китайский, так как в autorun.inf иероглифы "открыть" (у вас, вероятно, будет два вопросика).
AVZ пишет
>>> D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> D:\Explorer.exe ЭПС: подозрение на скрытый автозапуск D:\autorun.inf [Autorun\Open]
Но если их удалить и сделать эврестическую чистку, они быстро возвращаются.
Буду благодарен за помощь.
Последний раз редактировалось Qiao; 19.09.2008 в 10:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
explorer.rar удали отсюда. Присылать файлы по НАШИМ просьбам и через красную ссылку вверху темы.
Добавлено через 4 минуты
Срочно отключить "Восст. системы"
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Error.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
QuarantineFile('f:\explorer.exe','');
DeleteFile('f:\explorer.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\Error.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Загрузить карантин. Сделать новые логи.
Последний раз редактировалось PavelA; 06.06.2008 в 10:21.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Карантин послал.
Новые логи:
Последний раз редактировалось Qiao; 19.09.2008 в 10:09.
-
'C:\WINDOWS\system32\Error.exe' - не достался. Поищи через AVZ, если найдется, то в карантин его и прислать.
Посмотри на дисках Е,G,H,I нет ли там explorer.exe. Смотреть через AVZ.
Нужен еще лог после лечения AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
'C:\WINDOWS\system32\Error.exe' - не находит
explorer.exe на дисках есть. Загнал в карантин.
Новые логи:
Последний раз редактировалось Qiao; 19.09.2008 в 10:09.
-
Лог еще третий, ну очень нужен. С полной проверкой и лечением ВСЕХ дисков.
Добавлено через 3 минуты
Профикси строчку в Хиджаке:
F2 - REG:system.ini: Shell=explorer.exe,Explorer
Выполни скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('f:\explorer.exe');
DeleteFile('E:\explorer.exe');
DeleteFile('G:\explorer.exe');
DeleteFile('H:\explorer.exe');
DeleteFile('I:\explorer.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('I:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Последний раз редактировалось PavelA; 06.06.2008 в 12:09.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Сделал полную проверку, профиксил, запустил скрипт.
Вроде похорошело. Файлы исчезли. Даже при запуске "мои документы" не выскакивают.
Спасибо!
Новые логи:
Последний раз редактировалось Qiao; 19.09.2008 в 10:09.
-
Когда же наконец ты лог лечения приложишь? По нему проще смотреть что у тебя там твориться.
Еще один остался:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\explorer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Виноват, правила за раз не осилил.
Вируса вроде уже нет.
Вот все логи после всех скриптов:
Последний раз редактировалось Qiao; 19.09.2008 в 10:09.
-
Поискать через AVZ:C:\WINDOWS\system32\Error.exe. Найдется - прислать через карантин.
В regedit поищите ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Если там есть этот ехе-файл, то этот ключик для всех программ надо удалить.
Последний раз редактировалось PavelA; 10.06.2008 в 12:26.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-