-
Junior Member
- Вес репутации
- 52
Блокировка админских прав, неудаляемый утилитами вирус.
Схватил с флешки вирус. Вообще-то, всегда запускаю USBGuard и он обычно их вылавливает, но в этот раз ничего не увидел. На флешке создается папка с рандомным названием по аналогии с уже существующей (Например, создает Book .exe). Дальше - больше. На всех жестких дисках появилась папка AUTORUN.INF. Папку ничем удалить нельзя - при попытке удалить через скрипт в AVZ вообще произошла блокировка админских прав и ничего невозможно было сделать. После ребута блокировка исчезла, но на диске C (где Windows) вместо папки AUTORUN.INF появилась папка autorun.bak. Периодически выскакивает сообщение об ошибки системного процесса в svchost.exe (значит, вирус там). Ну, и постоянно, примерно раз в 10 секунд, происходит переключение на какую-то папку g (AltTAb), что даже это сообщение писать невозможно. Что нужно сделать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SysFiles\abBDlBwpK9rDYaxAi.dll','');
QuarantineFile('C:\WINDOWS\muis\svchost.exe','');
DeleteFile('C:\WINDOWS\muis\svchost.exe');
DeleteFile('C:\SysFiles\abBDlBwpK9rDYaxAi.dll');
DeleteFileMask('C:\SysFiles', '*.*',true);
DeleteDirectory('C:\SysFiles');
BC_ImportALL;
ExecuteSysClean;
DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
DelBHO('{EBB40BA1-63A1-8892-4AFF-4FCBCD2CD453}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=68333).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Эту часть вируса мне удалил CureIT в безопасном режиме на 98% проверки. (до AVZ) Но продолжают создаваться папки на флешках (когда есть, когда нет, непонятно) и не удаляются папки в корневых каталогах жестких дисков AUTORUN.INF и autorun.bak. (Уже после)
Думаю, логи ничего нового не дадут, карантин закачал.
P.S. В папках находиться какой-то файл zhengbro., но ни удалить, ни открыть невозможно (Пробовал Unlocker, скриптом под AVZ)
Последний раз редактировалось Fogocytose; 23.01.2010 в 15:31.
-
Активного заражения в логах больше не видно.
Касаемо "неудаляемых" объектов - отключайте простой общий доступ, смотрите владельца и разрешения.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Спасибо, папки не удаляются, но по другой причине - они были созданы программой USBGuard, и, наоборот, необходим, т.к. "вирусные" автораны не смогут записаться в корневой каталог таким образом.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-