Принесли мне на флэшке вирус. Создал на всех моих жестких дисках в корне несколько файлов. Носил на работу лечить часть вылечилось. В system32 нашел некий amvo.exe а в корне дисков 2 файла autorun.inf и kk.bat
Прикрепляю лог
Принесли мне на флэшке вирус. Создал на всех моих жестких дисках в корне несколько файлов. Носил на работу лечить часть вылечилось. В system32 нашел некий amvo.exe а в корне дисков 2 файла autorun.inf и kk.bat
Прикрепляю лог
Закройте все программы.
Выполните скрипт:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\kk3.bat',''); QuarantineFile('C:\autorun.inf',''); DelBHO('{CE7C3CF0-4B15-11D1-ABED-709549C10000}'); QuarantineFile('C:\WINDOWS\system32\ckvo.exe',''); QuarantineFile('C:\WINDOWS\system32\ckvo0.dll',''); BC_DeleteFile('C:\WINDOWS\system32\ckvo0.dll'); BC_DeleteFile('C:\WINDOWS\system32\ckvo.exe'); SysCleanAddFile('C:\WINDOWS\system32\ckvo.exe'); SysCleanAddFile('C:\WINDOWS\system32\ieso0.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\kk3.bat'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\kk3.bat'); ExecuteRepair(8); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите то, что попадет в карантин, используя ссылку:
http://virusinfo.info/upload_virus.php?tid=29509
Сделайте новый лог и приложите к этой теме.
Скрипт все удалил, отправил вам карантин с паролем virus
В корне дисков теперь файл f.bat
Чудеса. Прикрепляю лог
Вы отключали службу восстановления системы?
Если нет, то это необходимо сделать (см. Приложение 1).
Теперь скрипт будет такой:
PS. Компьютер может быть перезаражен при подключении зараженной флешки.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ckvo0.dll'); DeleteFile('C:\WINDOWS\system32\ckvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\f.bat'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\f.bat'); ExecuteRepair(8); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Для предотвращения этого можно удерживать клавишу Shift при её подключении и затем удалить c нее, при помощи такой программы как FAR, файлы autorun.inf и *.bat
Вирус удален. Еще был файл *.CMD
Добавил его в скрипт, теперь все чисто.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.tchp (DrWEB: Win32.HLLW.Autoruner.2662)
- c:\\kk3.bat - Worm.Win32.AutoRun.lym (DrWEB: Trojan.Nsanti.Packed)
- c:\\windows\\system32\\ckvo.exe - Worm.Win32.AutoRun.mhi (DrWEB: Trojan.PWS.Wsgame.4983)
- c:\\windows\\system32\\ckvo0.dll - Worm.Win32.AutoRun.mhy (DrWEB: Trojan.PWS.Wsgame.6885)
Уважаемый(ая) Denisca, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.