постоянно появляется окошко autorun.inf

**stalin45** · 19.12.2009, 22:21

1. При запуске системы постоянно появляются окошки с заголовком autorun.inf с содержанием setup.exe
2. Куча непонятных служб
3. Пролечил систему Cureit'ом нашёл порядка 1000 вирусов окошко перестало появляться но после подключения к интернету опять та же картина.
4. Диспетчер задач не запускается. Не работает cmd, iexplorer, regedit пишет что файлы не найдены.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 19.12.2009, 22:33

Пофиксите в hijackthis:

Код:

O20 - AppInit_DLLs: ss12b60096dll.dll,ss12d50000dll.dll,ss12a70096dll.dll,ar12a80099dll.dll,ss12c40088dll.dll
O23 - Service: trseb (Aetrsx) - Unknown owner - C:\WINDOWS\Avx.exe (file missing)
O23 - Service: Application Layer Gateway Servicd (ALB) - Unknown owner - C:\WINDOWS\system32\alb.exe (file missing)
O23 - Service: Ati Hotf (Ati2ef) - Unknown owner - C:\WINDOWS\Ati2ef.exe (file missing)
O23 - Service: Ati HotK (Ati2ev) - Unknown owner - C:\WINDOWS\Ati2ev.exe (file missing)
O23 - Service: Ati Hotes (Aties) - Unknown owner - C:\WINDOWS\Aties.exe (file missing)
O23 - Service: Test (cld) - Unknown owner - C:\WINDOWS\file.exe (file missing)
O23 - Service: ·юОсНР№Ь Internet ГЬФїЅ»»»(IKE)єНЙн·ЭСйЦ¤ Internet Р*Тй(AuthIP)јьїШДЈїйЎЈ1.6 (Description1.6) - Unknown owner - C:\WINDOWS\system32\IDFYCEFMDZ\H001.exe (file missing)
O23 - Service: ·юОсНР№Ь Internet ГЬФїЅ»»»(IKE)єНЙн·ЭСйЦ¤ Internet Р*Тй(AuthIP)јьїШДЈїйЎЈHero (DescriptionHero) - Unknown owner - C:\WINDOWS\system32\z\P001.exe (file missing)

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\fgukf.dll','');
 QuarantineFile('C:\WINDOWS\system32\RmmxtqC.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\tro1261042518.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\regular.sys','');
 QuarantineFile('C:\WINDOWS\system32\alb.exe','');
 QuarantineFile('C:\WINDOWS\Ati2ef.exe','');
 QuarantineFile('C:\WINDOWS\Ati2ev.exe','');
 QuarantineFile('C:\WINDOWS\Aties.exe','');
 QuarantineFile('C:\WINDOWS\file.exe','');
 QuarantineFile('C:\WINDOWS\system32\IDFYCEFMDZ\H001.exe','');
 QuarantineFile('C:\WINDOWS\system32\z\P001.exe','');
 QuarantineFile('C:\WINDOWS\dsfs.exe','');
 QuarantineFile('C:\WINDOWS\resdx.exe','');
 QuarantineFile('C:\WINDOWS\system32\OYCMTV8E9S\D001.exe','');
 QuarantineFile('C:\WINDOWS\system32\akqaw.exe','');
 QuarantineFile('C:\WINDOWS\system32\JYPVJJYIVV\J002.exe','');
 QuarantineFile('C:\WINDOWS\system32\OYCMTV8E9S\J002.exe','');
 QuarantineFile('C:\WINDOWS\system32\z\G001.exe','');
 QuarantineFile('C:\WINDOWS\system32\P1BEG2OLP5\M001.exe','');
 QuarantineFile('C:\WINDOWS\vfx.exe','');
 DeleteService('regul1r');
 DeleteService('s');
 DeleteService('tt');
 DeleteService('vf');
 DeleteService('vfs');
 DeleteService('vsx');
 DeleteService('Mindaek360');
 DeleteService('gcbg');
 DeleteService('fs');
 DeleteService('dsafds');
 DeleteService('DescriptionHero');
 DeleteService('Description1.6');
 DeleteService('cld');
 DeleteService('Aties');
 DeleteService('Ati2ev');
 DeleteService('Ati2ef');
 DeleteService('ALB');
 QuarantineFile('C:\WINDOWS\Avx.exe','');
 DeleteService('Aetrsx');
 QuarantineFile('c:\windows\system32\fgukf.dll','');
 DeleteFile('c:\windows\system32\fgukf.dll');
 DeleteFile('C:\WINDOWS\Avx.exe');
 DeleteFile('C:\WINDOWS\vfx.exe');
 DeleteFile('C:\WINDOWS\system32\P1BEG2OLP5\M001.exe');
 DeleteFile('C:\WINDOWS\system32\z\G001.exe');
 DeleteFile('C:\WINDOWS\system32\OYCMTV8E9S\J002.exe');
 DeleteFile('C:\WINDOWS\system32\JYPVJJYIVV\J002.exe');
 DeleteFile('C:\WINDOWS\system32\akqaw.exe');
 DeleteFile('C:\WINDOWS\system32\OYCMTV8E9S\D001.exe');
 DeleteFile('C:\WINDOWS\resdx.exe');
 DeleteFile('C:\WINDOWS\dsfs.exe');
 DeleteFile('C:\WINDOWS\system32\z\P001.exe');
 DeleteFile('C:\WINDOWS\system32\IDFYCEFMDZ\H001.exe');
 DeleteFile('C:\WINDOWS\file.exe');
 DeleteFile('C:\WINDOWS\Aties.exe');
 DeleteFile('C:\WINDOWS\Ati2ev.exe');
 DeleteFile('C:\WINDOWS\Ati2ef.exe');
 DeleteFile('C:\WINDOWS\system32\alb.exe');
 DeleteFile('C:\WINDOWS\TEMP\regular.sys');
 DeleteFile('C:\WINDOWS\TEMP\tro1261042518.exe');
 DeleteFile('C:\WINDOWS\system32\RmmxtqC.dll');
 DeleteFile('C:\WINDOWS\system32\fgukf.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ПµНіІ№¶Ў\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам

Сделайте новые логи

**stalin45** · 20.12.2009, 00:18

всё сделал.

**Никита Соловьев** · 20.12.2009, 00:25

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 QuarantineFile('C:\tmp\pifca.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

**stalin45** · 20.12.2009, 00:44

сделал

**Никита Соловьев** · 20.12.2009, 16:24

хорошо. Сделайте новые логи

**stalin45** · 20.12.2009, 18:28

Вот свежие логи.

**Никита Соловьев** · 20.12.2009, 18:40

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\wmitpfs.dll','');
 QuarantineFile('C:\WINDOWS\system32\autrunsrv.dll','');
 QuarantineFile('C:\WINDOWS\system32\RzmetpC.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\tro1261042518.exe','');
 QuarantineFile('C:\PROGRA~1\Google\afiet.dll','');
 QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
 DeleteService('BackGround Switch');
 QuarantineFile('c:\windows\system32\rzmetpc.dll','');
 DeleteFile('C:\WINDOWS\system32\regedit32.exe');
 DeleteFile('C:\WINDOWS\TEMP\tro1261042518.exe');
 DeleteFile('E:\autorun.inf');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам

Сделайте новые логи

**stalin45** · 20.12.2009, 19:32

новые логи

**Никита Соловьев** · 20.12.2009, 19:39

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\PROGRA~1\Google\afiet.dll');
 DeleteFile('C:\WINDOWS\system32\RzmetpC.dll');
 DeleteFile('C:\WINDOWS\system32\autrunsrv.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\amtnx\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AuthdSrv\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

**stalin45** · 20.12.2009, 21:23

Я правильно понимаю что заразы не осталось судя по логам AVZ?

**thyrex** · 20.12.2009, 21:33

Выполните скрипт в AVZ

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\wmitpfs.dll','');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

**stalin45** · 20.12.2009, 21:41

Не получилось. при попытке собрать карантин AVZ пишет: "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wmitpfs.dll)
Карантин с использованием прямого чтения - ошибка"

**Никита Соловьев** · 20.12.2009, 22:04

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\wmitpfs.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wmitpfs\Parameters','ServiceDll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Установите SP3 + все последние обновления. Установите IE8. Больше ничего плохого

**stalin45** · 20.12.2009, 22:08

Спасибо.

**CyberHelper** · 21.12.2009, 22:08

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 110
В ходе лечения обнаружены вредоносные программы:
1. c:\progra~1\google\afiet.dll - Trojan-PSW.Win32.Bjlog.dvg ( BitDefender: Trojan.Generic.2876667, AVAST4: Win32:Malware-gen )
2. c:\windows\system32\fgukf.dll - Trojan-PSW.Win32.Bjlog.dtk ( BitDefender: Trojan.Agent.AOAP )
3. c:\windows\system32\regedit32.exe - Backdoor.Win32.Agent.angh ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.2846834, NOD32: Win32/AutoRun.Agent.TS worm, AVAST4: Win32:Agent-AFWS [Trj] )
4. c:\windows\system32\rzmetpc.dll - Backdoor.Win32.Xyligan.ms ( DrWEB: Trojan.DownLoad1.18956, AVAST4: Win32:PcClient-ZE [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

постоянно появляется окошко autorun.inf (заявка № 64349)

Опции темы

постоянно появляется окошко autorun.inf

Антивирусная помощь

Итог лечения

Похожие темы

После лого WinXP появляется окошко

Постоянно выбивает какое то окошко Just Bugs (заявка №30110)

после лого WinXP появляется окошко связанное с iisrstas.exe

При загрузке компа появляется серое окошко

Постоянно всплывает окошко подключения к интернету

Ваши права в разделе