Помогите удалить autorun.fakealert.af с флешки. После удаления появлется снова.
Помогите удалить autorun.fakealert.af с флешки. После удаления появлется снова.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\cfmon.exe',''); QuarantineFile('H:\WINDOWS\system32\msvcrt57.dll',''); DeleteFile('H:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\cfmon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
После выполнения "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" система не дает запускать программы. Чтобы запустить HijackThis, пришлось перезагружать компьютер.
А при запуске флешки антивирус Касперский выдает сообщение: троянская программа Rootkit.Win32.Small.ut
вот повторные логи и карантин
Последний раз редактировалось pig; 05.09.2009 в 23:32. Причина: Карантин не сюда. Есть красная ссылка наверху.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\autorun.inf',''); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); QuarantineFile('H:\WINDOWS\system32\msvcrt57.dll',''); QuarantineFile('H:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('H:\WINDOWS\System32\Drivers\sfc.SYS'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak',''); DeleteFile('H:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\autorun.exe'); DeleteFile('Q:\autorun.inf'); DeleteFile('Q:\autorun.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - K:\Java\bin\ssv.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - K:\Java\bin\jp2ssv.dll (file missing) O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: reset5 - H:\WINDOWS\
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('H:\Program Files\Microsoft Common\svchost.exe'); DeleteFile('M:\autorun.inf'); DeleteFile('M:\autorun.exe'); DeleteFile('Q:\autorun.inf'); DeleteFile('Q:\autorun.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end.
Прочитайте и выполните это: http://virusinfo.info/showthread.php?t=43700.
Сделайте новые логи.
I am not young enough to know everything...
Новые логи
Зачистка прошла успешно.
Как самочувствие?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Вроде все нормально. флешка чистая. Только система притормаживает, не все время, а как-то временами.
Всем спасибо огромное!
Добавлено через 1 минуту
А восстановление системы когда можно включить?
Последний раз редактировалось KaterinaA; 06.09.2009 в 16:24. Причина: Добавлено
Установите SP3 и последующие обновления, иначе это не надолго.
Добавлено через 33 секунды
Восстановление можете включить.
Последний раз редактировалось Bratez; 06.09.2009 в 16:25. Причина: Добавлено
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\autorun.exe - Worm.Win32.Bezopi.dr
- c:\autorun.inf - Trojan.Win32.AutoRun.dh ( NOD32: Win32/AutoRun.FakeAlert.AF worm )
- h:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.ka ( DrWEB: Trojan.DownLoad.5244, AVAST4: Win32:Preald-AK [Drp] )
- q:\autorun.exe - Worm.Win32.Bezopi.dr
- q:\autorun.inf - Worm.Win32.Bezopi.eo ( DrWEB: Win32.HLLW.Autoruner.6526, BitDefender: Trojan.Script.35655, NOD32: Win32/AutoRun.FakeAlert.AF worm, AVAST4: VBS:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) KaterinaA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.