На буке завелся вирус, который постоянно заражает флэшку, CureIt отрапортовал, что удалил его, но через Total Commander прекрасно видно что он окопался в Sistem32 под фамилией bxthmf.dll
Выпишите лекарство, пожалуйста, анализы прилагаются.
На буке завелся вирус, который постоянно заражает флэшку, CureIt отрапортовал, что удалил его, но через Total Commander прекрасно видно что он окопался в Sistem32 под фамилией bxthmf.dll
Выпишите лекарство, пожалуйста, анализы прилагаются.
1. Выполните скрипт:
и пришлите карантин согласно правилам после перезагрузки (перед выполнение скрипта антивирус следует выключить, после перезагрузки - включить)Код:begin BC_QrFile('C:\WINDOWS\system32\bxthmf.dll'); QuarantineFile('C:\WINDOWS\system32\bxthmf.dll',''); BC_Activate; RebootWindows(true); end.
2. В системе виден ряд неопознанных файлов, скорее всего оно все безопасные (антивирус, принтер), тем не менее в качестве элемента исследования стоит выполнить http://virusinfo.info/showthread.php?t=3519
Карантин выслала, получился в двух частях, вторая часть содержит bxthmf.dll и называется Virus2
Скрипт выполнила, но при перезагрузке ничего не изменилось, так как вирус bxthmf.dll там же.
На мой ламерский взгляд проблема может быть в размещении его части в
C:\RECYCLER\S-1-5-21-790525478-842925246-1343024091-1004\Dc3284\Project1.exe >>> подозрение на Trojan-Downloader.Win32.Banload.bsh ( 090B8B3C 0560C115 0021E997 0025964C 436736)
C:\RECYCLER\S-1-5-21-790525478-842925246-1343024091-1004\Dc3285\Setup\Tech_rem.CAB/{CAB}/Tech_rem.exe >>> подозрение на Trojan.Win32.Elitor ( 00452AA7 00241DC3 0039F9CC 00084F17 5324
Прямое чтение C:\WINDOWS\system32\bxthmf.dll
Но к сожалению Total Commander не видит эту директорию, и удалить ничего в ней я не могу.
Добавлено через 5 минут
PS:Не могу удержаться, чтобы не выразить Вам глубочайшее уважение за разработку оружия защиты, думаю вы будете жить очень долго, потому что очень много людей поминают Вас добрым словом, Олег Зайцев.
Последний раз редактировалось Rina; 25.04.2009 в 19:21. Причина: Добавлено
Rina, скрипт должен был только скопировать, ни о каком удалении речи не шло.
антивирус не забыли выключить перед исполнением скрипта?
Файл bxthmf.dll не попал в карантин.
Попробуйте в безопасном режиме через avz найти bxthmf.dll и прислать
(читайте приложение 2 правил)
Удалять не надо, пока не скопирован и не отослан на анлиз.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Упс, нарушила последовательность, карантин получился в двух частях, до выполнения скипта и после, антивирус отключала.
Почему-то вообразила, что мне уже выписали "Удаление" и даже не прочитала скрипт, вот до чего доводит самомнение. Вторую часть карантина тоже выслала (называется Virus2).
Добавлено через 3 минуты
А как добраться до C:\RECYCLER ?
Последний раз редактировалось Rina; 25.04.2009 в 19:29. Причина: Добавлено
Вижу, это оказался: Net-Worm.Win32.Kido.ih
по касперскому.
Для кидо есть специальная инструкция:http://support.kaspersky.ru/faq/?qid=208636215
Также авптул можно попробовать.
Только восстановление системы не забыть отключить перед лечением.
Нужно обновления ставить на систему. Иначе опять залезет. Желательно под админом в инете не шастать
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Большое спасибо за инфрмацию.
Слава богу у хозяина этого бука нет вообще никай возможности лазить по инету, а то бы нам этого не пережить, и где он только подцепил эту гадость?
Может подсоединялся к заражённому компьютеру или с заражённой флешки. Рекомендуется отключать автозапуск съёмных носителей на компьютере.
После лечения сделайте заново логи.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
К сожалению, хозяин бука уже умчался с ним на работу, последние логи сделать не успела, автозапуск отключить тоже, успела только подлечить, придется ждать следующего раза, думаю не долго. Говорит, что вирус попал к нему с телефона, на котором принесли фотки, необходимые для работы, выбора не было и он дал подключить.
Как вы думаете, может червь авторан передаваться через телефон?
Может. Для компьютера телефон просто одна из флэшек.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\bxthmf.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )
Уважаемый(ая) Rina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.