Показано с 1 по 14 из 14.

autorun (заявка № 27895)

  1. #1
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    11
    Вес репутации
    58

    Thumbs up autorun

    При открытии дисков, последние открываются в новом окне (при этом подгружается флоппик). Также иногда компьютер сильно тормозит (возможно загружаются одни и те же процессы).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\autorun.vbs','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.vbs','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.vbs','');
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\autorun.vbs');
     DeleteFile('D:\autorun.inf');
     DeleteFile('D:\autorun.vbs');
     DeleteFile('E:\autorun.inf');
     DeleteFile('E:\autorun.vbs');
    BC_ImportALL;      
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6 );
    ExecuteRepair(8 );    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    11
    Вес репутации
    58
    Локальные диски по-прежднему открываются в новом окне.
    Выслал карантин.
    Вот новые логи:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    А Вы скрипт выполняли? Все на месте, как и было.

  6. #5
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    11
    Вес репутации
    58
    Скрипт выполнил. Ничего не изменилось.
    Логи в посте 3 после выполнения скрипта.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteFile('E:\autorun.vbs');
     BC_DeleteFile('E:\autorun.inf');
     BC_DeleteFile('D:\autorun.vbs');
     BC_DeleteFile('D:\autorun.inf');
     BC_DeleteFile('C:\autorun.vbs');
     BC_DeleteFile('C:\autorun.inf');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    11
    Вес репутации
    58
    Провел проверку Cureit с CD в безопасном режиме.
    Было найдено много подозрительных файлов (помимо авторанов), которые дублировали все вордовсие документы на компьюете (с одинаковыми названиями), но имели разрешение .vbs. Все они были удалены. После перезагрузки при попытке окрыть локальные диски проводником, получал следующее сообщение: "Не удается найти файл сценария С:\autorun.vbs" (применительно к диску С:), D:\autotun.vbs для D: и т.д. Однако, в досе все диски отлично просматривались, их содержимое прекрасно запускалось и работало.
    Вот логи после проверки Cureit.

    Сейчас сделаю инструкции поста №7. Выложу новые логи.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    11
    Вес репутации
    58
    Выполнил скрипт. Выкладываю логи.

    Также заметил, что после проверки Cureit файлы autorun.vbs исчезли со всех дисков (после перезагрузки не восстановились). Зато autorun.inf остались. Также обнаружил на всех локальных дисках по 2 подозрительных файла реестра с именами doc.reg и vbs.reg.

    Локальные диски по-прежднему не открываются по вышеописанным причинам -> не могу сказать, открываются ли они в одном окне или в новом.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     DeleteFile('E:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    executerepair(1);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После ребута - карантин и новые логи в студию.

  11. #10
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    11
    Вес репутации
    58
    Спасибо большое за помощь. Локальные диски открываются нормально.

    Карантин выслать не удалось, ибо autorun.inf был полностью уничтожен. Выкладываю скрипты.

    Хотелось бы узнать, что за файлы doc.reg и vbs.reg, и не представляют ли они угрозы для системы. Также убедительно прошу просмотреть логи на наличие иной заразы. Заранее благодарен.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от dss Посмотреть сообщение
    Хотелось бы узнать, что за файлы doc.reg и vbs.reg, и не представляют ли они угрозы для системы.
    Файлы этого типа при запуске прописывают изменения в реестре - они могут быть как позитивные, так и негативные. Лучше если такие файлы - даже хорошие- не лежат на диске в доступном виде - их можно переименовать или запаковать в защищенный архив
    В логах чисто.
    Сервис Пак 3 поставьте.

  13. #12
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    11
    Вес репутации
    58
    Постоянно использую 2 флешки, они наверняка заражены. Как лучше их лечить, чтобы не допустить заражение всей системы?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от dss Посмотреть сообщение
    Как лучше их лечить, чтобы не допустить заражение всей системы?
    Линукс под рукой есть? Отформатируйте в FAT. Если нет под рукой - скачайте отсюда www.knoppix.com , сделайте LiveCD , загрузитесь - и вперед и с песнями

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.vbs - Virus.VBS.Agent.a (DrWEB: VBS.Generic.594)
      2. d:\\autorun.vbs - Virus.VBS.Agent.a (DrWEB: VBS.Generic.594)
      3. e:\\autorun.vbs - Virus.VBS.Agent.a (DrWEB: VBS.Generic.594)


  • Уважаемый(ая) dss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 11.07.2009, 14:54
    2. Ответов: 4
      Последнее сообщение: 10.07.2009, 16:02
    3. Ответов: 6
      Последнее сообщение: 10.07.2009, 14:08
    4. Ответов: 4
      Последнее сообщение: 19.03.2008, 09:42
    5. Ответов: 5
      Последнее сообщение: 03.02.2008, 17:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00850 seconds with 20 queries