Постоянно создаются на флешке скрытые папки RECYCLER, NADFOLDER и autorun.inf
Цитирую переписку с Вирусной лаболаторией Касперского (ВЛК), описывающую суть проблемы:
Я: Принесли проверить ноутбук. На своем рабочем компьютере под защитой КАВ 6.0.3.837 я скопировал на флешку утилиты AVZ, HiJackThis последние версии и Kaspersky Virus Removal Tool последнюю версию.
Далее работал с флешкой на зараженной машине. После этого вставил флешку обратно в свой компьютер.
Касперский сработал, нашел вирус, удалил. Далее несколько раз сработал повторно, нескалько раз удалил один и тот же файл. После этого замолчал.Флешку на моем компьютере форматировать не дает, на флешке после удаления постоянно появляются папки, как на скрине flash.jpg.
ВЛК: Здравствуйте,
autorun.inf - Worm.Win32.AutoRun.dui
Этот файл определяется антивирусом. Обновите антивирусные базы. Так же проведите полную проверку компьютера нашим антивирусов. Desktop.ini, sndrv.exe_
Вредоносный код в файлах не обнаружен.
Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.
Я: А я и не спорю, что не определяется.
Почему при подключении чистой, только что отформатированной флешки в другом компьютере, к моему системнику на ней сразу же появляются три объекта в корне (два первых скрытых): RECYCLER NADFOLDER autorun.inf
Антивирусные базы от 20.04.2009 4.04, обновляются через Admin Kit server.
Полное сканирование выполнено, вредоносных объектов 0.
Флешку отформатировать я не могу.
Это нормальное поведение системы?
Удаление данных папок ни к чему не приводит.
Кста, содержимое папки NADFOLDER, переименованной в NADFOLDER2222 в прикреплениях.
ВЛК: Здравствуйте,
Потому что флешка содержит файл autorun.inf. Который служит способом распространения вируса. Desktop.ini
Вредоносный код в файле не обнаружен.
Я: Проблема в том, что моя система заражена, а не флешка. И антивирус не видит симптомов и говорит что все чисто.На любой флешке, которую воткнуть в мой комп, появляются эти папки. Как мне мой компьютер вылечить?
Я не присылал Вам desktop.ini. Я прислал вам заархивированный NATFOLDER2222, в которой содержатся файлы autorun.exe и desktop.ini
И файл в корне флешки autorun.inf следующего содержания: [autorun] open=NADFOLDER\autorun.exe icon=%SystemRoot%\system32\SHELL32.dll,4 action=Open folder to view files shell\open=Open shell\open\command=NADFOLDER\autorun.exe shell\open\default=1
А Вы мне говорите что все OK, антивирус говорит ВСЕ ОК, И desktop.ini - вредоносный код в файле не обнаружен.
Да как то всеравно, безобидный это код или нет,
Но это - "НЕ ОК".
Как вылечить это Вы можете посоветовать или нет?
ВЛК: Здравствуйте,
поишите подозрительные файлы по дате создания и пришлте их нам на анализ
*******
Логи согласно Правил в приложениях, так же там скрин корня флешки после форматирования на другом компьютере и подключенной к подопытному.
Помогите, пожалуйста решить проблему.
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сегодня после включения компьютера появился процесс sxs.exe, сам исполняемый файл лежал в корневой папке моего пользователя в Documents&Settings, появился он там вчера.
Так же во временных файлах IE обнаружились два экзешника ups.exe и sxs.exe, дата создания 20.04.2009, загруженных с ресурсов moderated и moderated соответсвенно...
sxs я удалил, предварительно поместив копию в архив, временные файлы все удалил.. и вообще много чего удалил.
Папку AVZ тоже случайно удалил. С карантинами вчерашними..
Скачал AVZ, скрипты выполнил по новой. Логи прилагаю.
Проблема осталась прежней. При подключении флешки Касперский начинает удалять файл autorun.inf, файл появляется вновь... процесс повторяется.
Проясните, пожалуйста, ситуацию.. что за зловред то поселился у меня?
Какова вероятность заражения других компьютеров через сеть?
Мой акк имеет полные права на запись и удаленную установку в домене.
Последний раз редактировалось Rene-gad; 21.04.2009 в 12:42.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Да, Вы правы.
С флешкой все впорядке, вроде.
После форматирования новых файлов не появляется.
sxs.exe, который появлялся в папке пользователя и был в процессах - сейчас его нет, но почему касперский на него не реагировал?
И что было с системой?
Спасибо за оказанную помощь!
PS: ноутбук, с которого я заразился, скрипты подойдут для лечения?
Забыл добавить, что перед последними сканированиями установил заплатку от MS WindowsXP-KB958687-x86-RUS.exe для SP3.
(__http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)
Последний раз редактировалось Artaios; 21.04.2009 в 14:41.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: