Junior Member
Вес репутации
55
Проблема с червем AutoRun.FakeAlert.AF
Со вчерашнего дня (21.05.09) начались странности в работе моего компьютера. Приблизительно каждые 30 секунд система обращается к моему флоппи-дисководу. Если вставить туда дискету, NOD32 перехватывает событие в новом файле A:\Autorun.inf, созданном приложением C:\Windows\System32\svchost.exe, вирус: Win32/AutoRun.FakeAlert.AF червь. Аналогичное действие происходит, если подключить флешку.
Результаты сканирования локальных дисков от 22.05.09 22:00 с помощью NOD32:
C:\undo\backup.cab »CAB »C:\WINDOWS\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe - Win32/PowerReg приложение
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe - Win32/PowerReg приложение - изолирован - удален
C:\Documents and Settings\Безопасный\Local Settings\Application Data\Mozilla\Firefox\Profiles\wyhlyc18.default\Cac he\08537AD1d01 »ZIP »atk-4.1/atk.exe - Win32/HackTool.AttKit.A троян
D:\Дистрибутивы\Proteus\Proteus Professional v7.2 SP0 Build 4401\Crack\proteus.7.x-patch.exe - модифицированный Win32/HackTool.Patcher.A приложение
F:\Program Files\WMV CRACK\Patch.exe - модифицированный Win32/Tool.TPE.A приложение - удален
F:\System Volume Information\_restore{B837A914-9BF8-47AA-B1A2-06ACE985DF96}\RP403\A0113403.exe - модифицированный Win32/Tool.TPE.A приложение
Извините за левый лог. Нужна помощь...
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteAVUpdate;
DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}');
DelBHO('{987ED7A4-CB71-4C19-9210-C4D0FB69FC77}');
QuarantineFile('C:\WINDOWS\winstart.bat','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('internat.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(9);
BC_DeleteSvc('acpi32');
BC_DeleteSvc('i386si');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46359
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
Здорово!
Теперь гораздо лучше, дисковод больше не дергается. Логи прилагаются. Карантин я выслал примерно час назад.
Единственное, что смущает - в логе AVZ при выполнении скрипта лечения появляются записи:
C:\WINDOWS\SYSTEM32\opchda_ps.dll >>> подозрение на Trojan.Win32.Obfuscated.ev ( 0076CFA8 00000000 00261C7B 0022DE40 98304)
Файл успешно помещен в карантин (C:\WINDOWS\SYSTEM32\opchda_ps.dll)
C:\Program Files\Business Objects\Common\3.5\bin\localcon_res_de.dll >>> подозрение на Trojan.Win32.Obfuscated.gx ( 0077F61E 00000000 00196C26 0022684C 65536)
Файл успешно помещен в карантин (C:\Program Files\Business Objects\Common\3.5\bin\localcon_res_de.dll)
Как можно проверить эти подозрения?
Вложения
Ничего зловредного в логах нет.
В карантине: svchost.exe - Trojan-Dropper.Win32.Agent.apwg
Добавлено через 51 секунду
Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
Последний раз редактировалось Aleksandra; 25.05.2009 в 20:54 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\program files\microsoft common\svchost.exe - Trojan-Dropper.Win32.Agent.apwg ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Gen:Trojan.Heur.Hype.20708F8F8F )