Junior Member
Вес репутации
56
winde32.exe [Worm.Win32.AutoRun.shy, Worm.Win32.Agent.ko
]
такой вот злодей обосновался на компе и съемных носителях (флешка, фотоаппарат). CureIt его находит , но не удаляет а куда то перемещает. Нод32 вообще не видит. И в последнее время с инета стали автоматически загружаться вирусы (не при каждом подключении), Нод32 на это реагирует сообщением "множественные проникновения". После этого CureIt находил такие вирусы как dead.exe, lool.exe.
Winde32.exe создает файлы "авторан", которые легко удаляются, а сам exe-шник удалить никак не получается. может он связан и с автоматической загрузкой вирусов с инета, не знаю. Надеюсь на вашу помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetAVZPMStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('c:\windows\svcadmin.exe','');
DeleteFile('C:\Program Files\ASWPro\ASWPro.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('msfun80.exe');
DeleteFile('msime82.exe');
BC_ImportALL;
BC_DeleteSvc('AntiSpyWareProFilter');
BC_DeleteSvc('ATE_PROCMON');
BC_DeleteSvc('RTCore32');
BC_DeleteSvc('vaxscsi');
BC_DeleteSvc('iteio');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Junior Member
Вес репутации
56
такое ощущение что флешку и фотоаппарат AVZ не проверял, хотя я ставил там галочки
Вложения
Junior Member
Вес репутации
56
проверил сегодня CureIT-ом. Опять нашел winde32.exe.
какие дальнейшие мои действия?
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\svcadmin.exe');
TerminateProcessByName('c:\windows\system32\freezescreensaver.exe');
QuarantineFile('C:\WINDOWS\system32\FreezeScreenSaver.exe','');
QuarantineFile('C:\WINDOWS\svcadmin.exe','');
DeleteFile('C:\WINDOWS\svcadmin.exe');
DeleteFile('C:\WINDOWS\system32\FreezeScreenSaver.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_DeleteSvc('FreezeScreenSaver');
BC_DeleteSvc('Anyplace Control Security');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36976
3. Пофиксите в HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
56
вот выслал карантин, там есть кое-что интересное
Junior Member
Вес репутации
56
Логи готовы.
Связан ли winde32.exe с автоматической загрузкой вирусов при включении инета? а то это просто доканывает
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('J:\autorun.inf');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C735612}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
56
выкладываю свежие логи и карантин. похоже комп идет на поправку
вирусы сегодня уже не загружались
Вложения
В логах чисто, установите SP3+all updates...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
j:\\autorun.inf - Worm.Win32.AutoRun.shy (DrWEB: Win32.HLLW.Autoruner.3009) j:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\winde32.exe - Worm.Win32.Agent.ko (DrWEB: BackDoor.IRC.Flood. k:\\autorun.inf - Worm.Win32.AutoRun.shy (DrWEB: Win32.HLLW.Autoruner.3009) k:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\winde32.exe - Worm.Win32.Agent.ko (DrWEB: BackDoor.IRC.Flood.