Никак не могу победить эту дрянь. Помогите пожалуйста. И ещё вопрос. Что делать с флешкой которую юзал на заражённом этой гадостью компе. Выкидывать? Ведь куда бы теперь её не подключишь, система заразится. Спасибо заранее!
Никак не могу победить эту дрянь. Помогите пожалуйста. И ещё вопрос. Что делать с флешкой которую юзал на заражённом этой гадостью компе. Выкидывать? Ведь куда бы теперь её не подключишь, система заразится. Спасибо заранее!
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('C:\WINDOWS\system32\vksaver.dll',''); QuarantineFile('c:\Tender\InterPol\NkeY.exe',''); DeleteFile('c:\Tender\InterPol\NkeY.exe'); DelCLSID('31IOP6M8-1DAB-81AD-BOK1-26OC5H3565645'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов} BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Описанный Вами вирус действительно передаётся на флешках. Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.Код:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\] "Start"=dword:00000004 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000FF "NoDriveAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.
После выполнения указанных изменений перезагрузитесь и вставьте флешку в компьютер. Удалите с неё файл autorun.inf, после чего проверьте с помощью любого антивируса. И ничего выбрасывать не нужно - из-за каждого зловреда выбрасывать флешку - флешек не напасёшься
Последний раз редактировалось gjf; 01.11.2009 в 23:27.
Не уверен, что всё сделал правильно,но старался. Если, что сильно не ругайтесь, пожалуйста. Карантин отправил. Прикрепляю логи:
Начинаю делать манипуляции с флешкой.
Выполните скрипт:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} DeleteFile('C:\WINDOWS\system32\vksaver.dll'); BC_ImportAll; ExecuteSysClean; SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
Вы, кстати, в онлайн покер играете? И ещё - Вам вот это знакомо: E:\Distrib\Autostop.exe?
В он-лайн покер играю на Pokerstars.com. Autostop.exe это небольшая программа для выключения компьютера через определённое время. Уже давно ей пользуюсь.
Посмотрел на диск C: с помощью Total Comander. Почему-то файл AKON.exe до сих пор присутствует. А ещё в папке C:\Documents and Settings\Myltik какие-то непонятные .exe файлы с названиями типа: easdxzaqae, u1i5g58n1. Если их просто удалять, то они появляются вновь через определённое время.
Готово.
Как сказать проблема. Не пойму. Я просто удалил через Тотал командер папки AKON, MAD и xAVx, то есть сто пудовые вирусы. И те файлы из моих документов со странными названиями, про которые я писал в своём прошлом сообщении. Вроде эти фалы и папки больше не появляются. По крайней мере 2 дня их уже не видно. Хотя раньше появлялись и после удаления, но через стандартный проводник Windows. Даже не знаю считать ли мне свой компьютер полностью излеченным..
Про флешки. Можно ли сделать так. Внести данные в реестр из первого сообщения этой темы. Потом открыть флешку. Скопировать с неё все ценные данные (файлы и папки в которых уверен, что нет вируса), а саму флешку отформатировать в Windows? Все ли вирусы после этого умрут?
Причём здесь реестр? Или Вы о каком-то Вашем специальном реестре говорите?
Не лезьте Вы, бога ради , с этой флешкой в установленный Windows. Используйте Live CD - Windows или Linux, или установленный Linux. Скопируйте данные, флешку форматните.
Нет, только те, которые были в этот момент на флешке.Все ли вирусы после этого умрут?
В логах ничего подозрительного. Жалобы есть?
Закрывайте закрывайте. Нет жалоб.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\tender\interpol\nkey.exe - Trojan.Win32.Kreeper.ey ( DrWEB: Trojan.Siggen.15832, BitDefender: Backdoor.Bot.108728, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Myltik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.