Никак не могу победить эту дрянь. Помогите пожалуйста. И ещё вопрос. Что делать с флешкой которую юзал на заражённом этой гадостью компе. Выкидывать? Ведь куда бы теперь её не подключишь, система заразится. Спасибо заранее!
AKON вирус. Помогите пожалуйста
Никак не могу победить эту дрянь. Помогите пожалуйста. И ещё вопрос. Что делать с флешкой которую юзал на заражённом этой гадостью компе. Выкидывать? Ведь куда бы теперь её не подключишь, система заразится. Спасибо заранее!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('C:\WINDOWS\system32\vksaver.dll',''); QuarantineFile('c:\Tender\InterPol\NkeY.exe',''); DeleteFile('c:\Tender\InterPol\NkeY.exe'); DelCLSID('31IOP6M8-1DAB-81AD-BOK1-26OC5H3565645'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов} BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Описанный Вами вирус действительно передаётся на флешках. Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.Код:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\] "Start"=dword:00000004 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000FF "NoDriveAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.
После выполнения указанных изменений перезагрузитесь и вставьте флешку в компьютер. Удалите с неё файл autorun.inf, после чего проверьте с помощью любого антивируса. И ничего выбрасывать не нужно - из-за каждого зловреда выбрасывать флешку - флешек не напасёшься
Последний раз редактировалось gjf; 01.11.2009 в 23:27.
Не уверен, что всё сделал правильно,но старался. Если, что сильно не ругайтесь, пожалуйста. Карантин отправил. Прикрепляю логи:
Начинаю делать манипуляции с флешкой.
Выполните скрипт:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} DeleteFile('C:\WINDOWS\system32\vksaver.dll'); BC_ImportAll; ExecuteSysClean; SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
Вы, кстати, в онлайн покер играете? И ещё - Вам вот это знакомо: E:\Distrib\Autostop.exe?
В он-лайн покер играю на Pokerstars.com. Autostop.exe это небольшая программа для выключения компьютера через определённое время. Уже давно ей пользуюсь.
Посмотрел на диск C: с помощью Total Comander. Почему-то файл AKON.exe до сих пор присутствует. А ещё в папке C:\Documents and Settings\Myltik какие-то непонятные .exe файлы с названиями типа: easdxzaqae, u1i5g58n1. Если их просто удалять, то они появляются вновь через определённое время.
Готово.
Как сказать проблема. Не пойму. Я просто удалил через Тотал командер папки AKON, MAD и xAVx, то есть сто пудовые вирусы. И те файлы из моих документов со странными названиями, про которые я писал в своём прошлом сообщении. Вроде эти фалы и папки больше не появляются. По крайней мере 2 дня их уже не видно. Хотя раньше появлялись и после удаления, но через стандартный проводник Windows. Даже не знаю считать ли мне свой компьютер полностью излеченным..
Про флешки. Можно ли сделать так. Внести данные в реестр из первого сообщения этой темы. Потом открыть флешку. Скопировать с неё все ценные данные (файлы и папки в которых уверен, что нет вируса), а саму флешку отформатировать в Windows? Все ли вирусы после этого умрут?
Причём здесь реестр? Или Вы о каком-то Вашем специальном реестре говорите?Сообщение от Myltik
Не лезьте Вы, бога ради , с этой флешкой в установленный Windows. Используйте Live CD - Windows или Linux, или установленный Linux. Скопируйте данные, флешку форматните.
Нет, только те, которые были в этот момент на флешке.Все ли вирусы после этого умрут?
В логах ничего подозрительного. Жалобы есть?
Закрывайте закрывайте. Нет жалоб.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\tender\interpol\nkey.exe - Trojan.Win32.Kreeper.ey ( DrWEB: Trojan.Siggen.15832, BitDefender: Backdoor.Bot.108728, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Myltik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
