Показано с 1 по 11 из 11.

при подключении флешки пишет на нее вирус. (заявка № 33678)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    22
    Вес репутации
    57

    Thumbs up при подключении флешки пишет на нее вирус.

    Добрый день!
    Столкнулся с такой проблемой- на компе стоит Win xp sp2, eset nod 2.70.39.
    И теперь при подключении флешки eset выдает сообщение :

    и при этом на флешку пишется файл system.exe размером 40 960 байт. На другом компе, где стоит Avira Premium Security Suite 8 этот файл опознается как TR/Agent.amog или TR/Agent.alqj, а в Kaspersky Virus Removal Tool опознается как троянская программа Trojan.Win32.Agent.alqj.
    Вчера при проверке в Kaspersky Virus Removal Tool были следующие результаты :
    первый раз -
    Обнаружено
    ----------
    Статус Объект
    ------ ------
    удалено: троянская программа Trojan-Dropper.Win32.Agent.yyq Файл: C:\Documents and Settings\tester\Local Settings\Temp\buritos.exe
    удалено: троянская программа Trojan-Dropper.Win32.Agent.zaq Файл: C:\Documents and Settings\tester\Local Settings\Temp\shaurma.exe
    удалено: троянская программа Trojan-Dropper.Win32.Agent.yxf Файл: C:\Documents and Settings\tester\Local Settings\Temp\wintvXtxaR.exe
    удалено: троянская программа Trojan-Dropper.Win32.Agent.yxf Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\CBHRYMV5\load[1].php
    обнаружено: вирус Worm.Win32.AutoRun.ryi Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\E1HIZU1S\ldr[4].exe
    удалено: троянская программа Trojan-Clicker.JS.Agent.aw Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\I86P7HWC\Mirrors_for_bath[1].htm
    удалено: троянская программа Trojan-Clicker.HTML.IFrame.es Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\O7VN6GL9\111[1].js
    удалено: троянская программа Trojan-Dropper.Win32.Agent.yyq Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\O7VN6GL9\buritos[1].exe
    удалено: троянская программа Trojan-Dropper.Win32.Agent.zaq Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\QZ6R2HIZ\shaurma[1].exe
    удалено: вирус Email-Worm.Win32.Zhelatin.adt Файл: C:\Program Files\ESET\infected\0JEWJADA.NQF//PE-Crypt.XorPE
    удалено: троянская программа Packed.Win32.Tibs.kg Файл: C:\Program Files\ESET\infected\32L35MAA.NQF//PE-Crypt.XorPE
    удалено: троянская программа Trojan.Win32.Agent.wnv Файл: C:\Program Files\ESET\infected\L53ILHBA.NQF//PE-Crypt.XorPE
    удалено: троянская программа Trojan.Win32.Buzus.mey Файл: C:\Program Files\ESET\infected\LZRPUXDA.NQF//PE-Crypt.XorPE
    удалено: троянская программа Trojan.Win32.Pakes.jud Файл: C:\Program Files\ESET\infected\PKO0INDA.NQF//PE-Crypt.XorPE//PE_Patch.UPX//UPX
    удалено: троянская программа Trojan.Win32.Agent.alxl Файл: C:\WINDOWS\system32\msvcrt62.dll
    удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CJCREZUL\WM[1].exe
    не найдено: троянская программа Trojan.Win32.Agent.alqj Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UVOFILKF\ldr[1].exe
    удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UVOFILKF\WM[1].exe
    не найдено: вирус Worm.Win32.AutoRun.ryi Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Y76ZA123\ldr[1].exe
    удалено: троянская программа Trojan-Dropper.Win32.Agent.yzi Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Y76ZA123\WM[1].exe
    удалено: троянская программа Trojan-Dropper.Win32.Agent.yzi Файл: C:\WINDOWS\Temp\rdl1.tmp
    удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\Temp\rdl5.tmp
    удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\Temp\rdl94.tmp
    удалено: троянская программа Trojan-Dropper.Win32.Agent.yzi Файл: C:\WINDOWS\Temp\rdlA8.tmp


    и во второй раз -
    Обнаружено
    ----------
    Статус Объект
    ------ ------
    удалено: троянская программа Trojan.Win32.Agent.alpx Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0075454.dll
    удалено: вирус Worm.Win32.AutoRun.rtt Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0075455.exe
    удалено: троянская программа Trojan.Win32.Agent.alxl Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0075531.dll
    удалено: троянская программа Trojan.Win32.Agent.alxs Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076608.dll
    удалено: троянская программа Trojan.Win32.Agent.alqj Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076612.exe
    удалено: троянская программа Trojan.Win32.Agent.alzb Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076658.dll
    удалено: вирус Worm.Win32.AutoRun.ryi Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076660.exe
    удалено: вирус Worm.Win32.AutoRun.ryi Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076667.exe
    удалено: вирус Worm.Win32.AutoRun.ryi Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076683.exe
    удалено: троянская программа Trojan.Win32.Agent.alxl Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076688.dll

    Сегодня, перед тем как писать это письмо, проверка в Kaspersky Virus Removal Tool не выявили никаких вирусов, но флешка также исправно при каждом подключении заражается.
    Требуемые файлы я прилагаю.

    Хотелось бы узнать как с этим справиться.

    Заранее благодарен, Александр Качуренко.


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('mssvcc.exe','');
     QuarantineFile('regsrv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\wpx9.cpx','');
     QuarantineFile('C:\WINDOWS\system32\lssrvc.exe','');
     QuarantineFile('C:\WINDOWS\system\msidll.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qva62.sys','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt45.dll','');
     DeleteFile('C:\WINDOWS\system32\msvcrt45.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qva62.sys');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportAll;
    BC_DeleteSvc('Qva62');
    ExecuteSysClean;
    ExecuteRepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33678

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    22
    Вес репутации
    57

    Все сделал.

    День добрый!
    Сделал как сказано, карантин выслал. Логи прилагаю.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
    O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
    O4 - HKUS\S-1-5-18\..\RunServices: [Registry Server] regsrv32.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunServices: [Registry Server] regsrv32.exe (User 'Default user')
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\msvcrt46.dll');
     DeleteFile('C:\WINDOWS\system32\wpx9.cpx');
     DeleteFile('mssvcc.exe');
     DeleteFile('SystemReg16.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    22
    Вес репутации
    57

    И что это было?

    День добрый!

    1. Сегодня при подключении флешки Nod не кричал и на флешку зловред не писался.

    2. при попытке пофиксить строка O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe отсутствовала, правда я с утра запускал Spybot - Search & Destroy version: 1.6.0 (build: 20080729), он там кое-что понаходил и полечил, видимо из-за этого и отсутствует. Логи Spybot - Search & Destroy на всякий случай прилагаю.

    3. В папке C:\WINDOWS\system32 кроме файла msvcrt46.dll был аналогичный msvcrt44.dll (размер одинаковый), а вчера, насколько я помню, был еще и msvcrt45.dll.Так что я в скрипт добавил строчку про удаление msvcrt44.dll. Скрипт выполнился нормально.

    4. Хотелось бы понять, это я поймал именно трояна? и поэтому Nod не мог его прибить а только боролся с его проявлениями? и что за зверь был?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Отключать надо всю защиту при выполнении скриптов, все Ваши НОД, Касперский, Др.Веб, Спайбот. Они только мешают.

    Числом защитных программ не победишь троянов.
    Последний раз редактировалось PavelA; 13.11.2008 в 18:21. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    22
    Вес репутации
    57

    И?

    День добрый!

    Да я вроде все отключал перед запуском AVZ. С чего такой вывод о неотключении перед скриптами?
    И где ключевая фраза - "логи чистые"? Или еще не все чисто?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В Хиджаке в процессах НОД + Доктор.

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('msidll');
     DeleteFile('C:\WINDOWS\system\msidll.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить Станд скрипт №2.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    22
    Вес репутации
    57

    Сделано.

    Добрый день!
    1. Не могу в Диспетчере задач завершить nod32krn.exe, жму "Завершить процесс" и ничего не происходит, висит себе дальше, хотя из Nodа перед этим я выхожу. просто он висит для system, а я вроде где-то в нете читал что обычный пользователь не сможет при этом убить процесс nod32krn.exe.
    так что в Хиджаке он опять будет виден.
    2. Скрипт выполнился, правда я перед этим смотрел и файл C:\WINDOWS\system\msidll.exe отсутствовал. Как же он тогда выполнился нормально, если не удалил то что нужно? Ведь кроме удаления в скрипте ничего более полезного не было вроде. Но это так, размышления вслух.....
    Логи прилагаю.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Я там просто пустой сервис убил, чтобы зря в реестре не висел.
    BC_DeleteSvc('msidll');

    В логах теперь чисто.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    22
    Вес репутации
    57

    Спасибо!

    Ну что же, за сим считаю что мои волнения закончились(вернее не совсем мои, ибо лечил машину коллеги, моя чистенькая).

    Большая благодарность всем хэлперам, помогавшим мне!!!!!!!!!!


    P.s. Делаю для себя выводы -
    1. нет ПОСТОЯННО хорошего антивируса. Начинал с DrWeb, потом был касперский, потом nod, сейчас на своей машине Avira Premium Security Suite 8 и я доволен, во всяком случае у меня Avira орала на зловред, записываемый на флешку а на машинке, которую лечили , Nod тихонько себя в тряпочку..... .
    2. прийдется и себе поставить дополнительно антитрояна, уже одного антивируса, даже хорошего, маловато.

    Господа хэлперы, не подскажите напоследок хорошего антитрояна ?

  • Уважаемый(ая) avk06, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус проявляется при подключении флэшки
      От vladimir_K в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 03.12.2010, 09:02
    2. Ответов: 7
      Последнее сообщение: 04.05.2010, 23:42
    3. Ответов: 3
      Последнее сообщение: 11.02.2010, 21:00
    4. Вирус при подключении к Интернет
      От serge_pilot в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:46
    5. Ответов: 4
      Последнее сообщение: 25.01.2009, 12:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01458 seconds with 17 queries