Показано с 1 по 15 из 15.

непонятный autorun (заявка № 29272)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68

    Thumbs up непонятный autorun

    Тема такая. Немножко тупит комп, это раз. Сожрало NOD32 - это два. Заблокирован диспетчер задач, редактор реестра и безопасный режим - это три. AVZ запустил только когда екзешник переименовал в 111.ехе, иначе его закрывает с интервалом в 3-5 сек.
    CureIT также прибивает. Установку антивирусов прибивает (касперский тянул дольше всех, сдох на копировании файлов).
    Прогнал полностью AVZ, ничего не видит.

    В общем в переименованном виде сделал логи, посмотрите, пожалуйста. Флешку специально в компе оставил, чтоб файлы авторана засветить!
    Последний раз редактировалось antivor; 12.02.2009 в 09:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\ywhp.pif','');
     QuarantineFile('G:\autorun.inf','');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\ywhp.pif');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(11);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29272

    Повторите логи.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68

    карантин выслал

    блокировки после перезагрузки сразу же вернулись, как и автораны.
    логи прилагаю.
    там, кстати, после стандартных скриптов еще один файлик закарантинился, я его тож приложил.
    Последний раз редактировалось antivor; 12.02.2009 в 09:49.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68
    народ, сориентируйте хоть сколько ждать, а то сижу как дурак один на работе в выходной. может завтра, а я ждать буду...

    Добавлено через 8 минут

    Это падло пожрало у меня на флешке ехешники!!!!!!! плакали мои дистрибутивы

    Причем нод их типа лечит, но поттом.... ошибка архива и все такое.

    Степень опасности подросла?
    Последний раз редактировалось antivor; 30.08.2008 в 12:07. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Диск G: - это флэшка?
    Оставьте ее подключенной на время выполнения скрипта и логов.

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\drivers\glnmjn.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\glnmjn.sys');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\eruyee.pif');
    BC_ImportALL;
    BC_DeleteSvc('asc3360pr');
    ExecuteSysClean;
    ExecuteRepair(11);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите по правилам новый карантин
    и сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68
    да мне тут в личку прислали
    У вас по классификации DRWEB сидит Win32.sector.5. Сочувствую.
    Описание и метод борьбы тут...

    http://info.drweb.com/virus_description/172448

    Успехов.
    PS Ужасная штука - очень тяжело вывести эту заразу...

    Может проще систему навернуть???
    Последний раз редактировалось antivor; 01.09.2008 в 06:52.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Против Сектора существует пункт 2 правил.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68
    данный пункт всем хорош, кроме одного: сейчас машина в безопасный не грузится. и из всех доступных мне антивирей я смог только AVZ запустить и Trojan remover. Имеет смысл из-под LiveCD?
    а скриптик счас исполним, благодарю.

    взял другую флешку, маленькую и пустую. пускай подавится.

    имя диска флешки на D: поменялось правда. на ней создается файл с другим именем и размером, я в карантин его тож включил, чтоб по 3 раза не оттправлять потом, вдруг пригодится.
    а логи прикладываю.
    Последний раз редактировалось antivor; 12.02.2009 в 09:49.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от antivor Посмотреть сообщение
    данный пункт всем хорош, кроме одного: сейчас машина в безопасный не грузится.
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    executerepair(10);
    RebootWindows(true);
    end.
    После этого попробуйте провести лечение: http://virusinfo.info/showthread.php?t=15927

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\drivers\glnmjn.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('asc3360pr');
     QuarantineFile('C:\WINDOWS\system32\drivers\glnmjn.sys','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('D:\pfqd.pif','');
     DeleteFile('D:\pfqd.pif');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\drivers\glnmjn.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('asc3360pr');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68
    загрузился в безопасный. CureIT пожирает экзешники. очень печальное зрелище

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Плохо, если пожирает. По-правильному должен лечить. Что пишет?
    В принципе, можно эту бойню пока тормознуть и отправить в вирлаб несколько образцов с описанием проблемы. Если файлы поддаются лечению, то поправят.

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68
    я неверно выразился лечит. а нод с флешки у меня пожрал, после него уже не запускается...
    после лечения и скрипта в безопасном режиме, все вроде нормализовалось.
    автораны не появляются, диспетчер задач и редактор реестра я разблокировал, работают. сейчас сделаю логи и поставлю антивирус, напишу, как чего

    Касперский поставилсо! логи прикрепил, вроде работает!
    Последний раз редактировалось antivor; 01.09.2008 в 13:35.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Теперь ещё Касперским для пущей уверенности прогоните. Если не найдёт ни одного Sality - значит, с файловым вирусом здесь и сейчас покончено.

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68

    ВСЕМ ОГРОМНОЕ СПАСИБО!!

    кажется, все чисто! спасибо за помощь, в следующий раз с безопасным режимом так не ступлю

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\pfqd.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
      2. g:\\eruyee.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
      3. g:\\ywhp.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
      4. pfqd.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)


  • Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 11.07.2009, 14:54
    2. Ответов: 6
      Последнее сообщение: 10.07.2009, 14:08
    3. Очередной autorun и непонятный вирус...
      От joniscoolkz в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:35
    4. Ответов: 4
      Последнее сообщение: 19.03.2008, 09:42
    5. Ответов: 5
      Последнее сообщение: 03.02.2008, 17:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01122 seconds with 19 queries