При открытии дисков, последние открываются в новом окне (при этом подгружается флоппик). Также иногда компьютер сильно тормозит (возможно загружаются одни и те же процессы).
При открытии дисков, последние открываются в новом окне (при этом подгружается флоппик). Также иногда компьютер сильно тормозит (возможно загружаются одни и те же процессы).
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\autorun.vbs',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('D:\autorun.vbs',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.vbs',''); QuarantineFile('C:\autorun.inf',''); DeleteFile('C:\autorun.inf'); DeleteFile('C:\autorun.vbs'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\autorun.vbs'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\autorun.vbs'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6 ); ExecuteRepair(8 ); RebootWindows(true); end.
Локальные диски по-прежднему открываются в новом окне.
Выслал карантин.
Вот новые логи:
А Вы скрипт выполняли? Все на месте, как и было.
Скрипт выполнил. Ничего не изменилось.
Логи в посте 3 после выполнения скрипта.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('E:\autorun.vbs'); BC_DeleteFile('E:\autorun.inf'); BC_DeleteFile('D:\autorun.vbs'); BC_DeleteFile('D:\autorun.inf'); BC_DeleteFile('C:\autorun.vbs'); BC_DeleteFile('C:\autorun.inf'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Провел проверку Cureit с CD в безопасном режиме.
Было найдено много подозрительных файлов (помимо авторанов), которые дублировали все вордовсие документы на компьюете (с одинаковыми названиями), но имели разрешение .vbs. Все они были удалены. После перезагрузки при попытке окрыть локальные диски проводником, получал следующее сообщение: "Не удается найти файл сценария С:\autorun.vbs" (применительно к диску С:), D:\autotun.vbs для D: и т.д. Однако, в досе все диски отлично просматривались, их содержимое прекрасно запускалось и работало.
Вот логи после проверки Cureit.
Сейчас сделаю инструкции поста №7. Выложу новые логи.
Выполнил скрипт. Выкладываю логи.
Также заметил, что после проверки Cureit файлы autorun.vbs исчезли со всех дисков (после перезагрузки не восстановились). Зато autorun.inf остались. Также обнаружил на всех локальных дисках по 2 подозрительных файла реестра с именами doc.reg и vbs.reg.
Локальные диски по-прежднему не открываются по вышеописанным причинам -> не могу сказать, открываются ли они в одном окне или в новом.
Выполните скрипт
После ребута - карантин и новые логи в студию.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('E:\autorun.inf',''); DeleteFile('E:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; executerepair(1); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(17); BC_Activate; RebootWindows(true); end.
Спасибо большое за помощь. Локальные диски открываются нормально.
Карантин выслать не удалось, ибо autorun.inf был полностью уничтожен. Выкладываю скрипты.
Хотелось бы узнать, что за файлы doc.reg и vbs.reg, и не представляют ли они угрозы для системы. Также убедительно прошу просмотреть логи на наличие иной заразы. Заранее благодарен.
Файлы этого типа при запуске прописывают изменения в реестре - они могут быть как позитивные, так и негативные. Лучше если такие файлы - даже хорошие- не лежат на диске в доступном виде - их можно переименовать или запаковать в защищенный архив
В логах чисто.
Сервис Пак 3 поставьте.
Постоянно использую 2 флешки, они наверняка заражены. Как лучше их лечить, чтобы не допустить заражение всей системы?
Линукс под рукой есть? Отформатируйте в FAT. Если нет под рукой - скачайте отсюда www.knoppix.com , сделайте LiveCD , загрузитесь - и вперед и с песнями
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.vbs - Virus.VBS.Agent.a (DrWEB: VBS.Generic.594)
- d:\\autorun.vbs - Virus.VBS.Agent.a (DrWEB: VBS.Generic.594)
- e:\\autorun.vbs - Virus.VBS.Agent.a (DrWEB: VBS.Generic.594)
Уважаемый(ая) dss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.