Показано с 1 по 20 из 20.

Помогите! Заразил компьютер с флешки (заявка № 77279)

  1. #1
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29

    Thumbs up Помогите! Заразил компьютер с флешки

    Принес с работы флешку. Нужно было взять с нее один документ.
    На флешке я сразу заметил несколько странностей например
    некотрые папки были скрытые, и соответственно там же были файлы *.exe c названием как у папок.
    Файлы эти я кажется не запускал. Но сделал другую глупость. Попытался установить антивирус который был на этой флешке. Открыл папку и ткнул, как мне показалось, установочный файл, и только потом заметил, что у этого файла в описании было написано, что это файл заставки и размер около 150кб. Вобщем ясно что что-то не то. После этого стали появлятся "странности" например не мог зайти на сайт kaspersky.ru, при открытии страницы загрузки Dr. Web CureIt! браузер закрывается, при попытке установить антивирус компьютер перезагружается (без завершения работы), из меню проводника "сервис" пропал пункт "свойства папки"
    Пожалуста, помогите не знаю что и делать

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    Обновите базы AVZ!!!
    Потом отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\WINDOWS\system32\АHTОMSYS19.exe','');
     QuarantineFile('G:\WINDOWS\system32\drivers\lojklm.sys','');
     QuarantineFile('g:\docume~1\ivan\locals~1\temp\wintnyam.exe','');
     TerminateProcessByName('g:\docume~1\ivan\locals~1\temp\wintnyam.exe');
     QuarantineFile('g:\docume~1\ivan\locals~1\temp\wintcar.exe','');
     TerminateProcessByName('g:\docume~1\ivan\locals~1\temp\wintcar.exe');
     QuarantineFile('g:\docume~1\ivan\locals~1\temp\wingjuey.exe','');
     TerminateProcessByName('g:\docume~1\ivan\locals~1\temp\wingjuey.exe');
     QuarantineFile('g:\windows\system32\deter177\smss.exe','');
     TerminateProcessByName('g:\windows\system32\deter177\smss.exe');
     QuarantineFile('g:\windows\system32\deter177\svсhоst.exe','');
     TerminateProcessByName('g:\windows\system32\deter177\svсhоst.exe');
     QuarantineFile('g:\windows\system32\deter177\lsass.exe','');
     TerminateProcessByName('g:\windows\system32\deter177\lsass.exe');
     QuarantineFile('G:\WINDOWS\system32\сtfmon.exe','');
     DeleteFile('G:\WINDOWS\system32\сtfmon.exe');
     SetServiceStart('aic32p', 4);
     DeleteService('aic32p');
     DeleteFile('g:\windows\system32\deter177\lsass.exe');
     DeleteFile('g:\windows\system32\deter177\svсhоst.exe');
     DeleteFile('g:\windows\system32\deter177\smss.exe');
     DeleteFile('g:\docume~1\ivan\locals~1\temp\wingjuey.exe');
     DeleteFile('g:\docume~1\ivan\locals~1\temp\wintcar.exe');
     DeleteFile('g:\docume~1\ivan\locals~1\temp\wintnyam.exe');
     DeleteFile('G:\WINDOWS\system32\drivers\lojklm.sys');
     DeleteFile('G:\WINDOWS\system32\АHTОMSYS19.exe');
     DeleteFile('G:\Program Files\Ask.com\UpdateTask.exe');
    DeleteFile('G:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(8);
    ExecuteRepair(16);
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Пролечитесь от файлового вируса (Sality) - http://virusinfo.info/showthread.php?t=15927
    После сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
    Последний раз редактировалось DefesT; 28.04.2010 в 22:44.

  4. #3
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Наконец то все выполнил. Пролечился от sality, выполнил скрипт. После этого смог установить антивирус. Антивирус что-то находит, лечит, удаляет. Но видимо обнаруживает не все, потому что блокируются некоторые сайты в том числе этот, на экране появляются ошибки даже если ничего не делаю на компьютере, интернет перестает работать. Высылаю вам новые логи с надеждой на помощь.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('F:\autorun.inf','');
     QuarantineFile('G:\WINDOWS\system32\mprtsvstart.dll','');
     QuarantineFile('G:\Documents and Settings\Ivan\ijj.exe','');
     QuarantineFile('C:\settings.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
     QuarantineFile('G:\WINDOWS\System32\Drivers\meqcnfmx.sys','');
     QuarantineFile('G:\WINDOWS\system32\z\B7879.exe','');
     DeleteFile('G:\WINDOWS\system32\z\B7879.exe');
     DeleteFile('G:\WINDOWS\System32\Drivers\meqcnfmx.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
    DeleteFile('G:\Documents and Settings\Ivan\ijj.exe');
    DeleteFile('F:\autorun.inf');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','games');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','settings');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
     DeleteService('vsrfr');
    DeleteService('meqcnfmx');
    DeleteFileMask('G:\WINDOWS\system32\z', '*.*', true);
    DeleteDirectory('G:\WINDOWS\system32\z');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Все выполнил.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    g:\windows\System32\ctfmon.exe восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    C:\settings.exe
    
    Driver::
    bhrbhnrf
    dqbycn
    
    NetSvc::
    bhrbhnrf
    dqbycn
    
    Folder::
    g:\windows\system32\D1EDE8UVHM
    g:\windows\system32\8X3GN8J76C
    g:\windows\system32\8TE2XRNISU
    g:\windows\system32\888LF2YQY2
    g:\windows\system32\8ZIUE5F6W2
    g:\windows\system32\408V2KRVZC
    g:\windows\system32\4Z8HRZJS9O
    g:\windows\system32\46ZUHAT9MZ
    g:\windows\system32\463UCMQZD0
    g:\windows\system32\4WDPZ40BLB
    g:\windows\system32\3UEBOJS8VN
    g:\windows\system32\3BLM8GSQJE
    g:\windows\system32\15HH5H2GGL
    g:\windows\system32\16YA2GPFP5
    g:\windows\system32\04FIULY4AU
    g:\windows\system32\ZFPGYE9H13
    g:\windows\system32\Z4NIK9SKSU
    g:\windows\system32\ZPIEDZQNMK
    g:\windows\system32\YJXN69KL9E
    
    Registry::
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-]
    "settings"=-
    
    FileLook::
    G:\WINDOWS\system32\mprtsvstart.dll
    g:\windows\system32\mprtsclib.exe
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Сделал

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    G:\WINDOWS\system32\mprtsvstart.dll
    
    Driver::
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "MprvSrv"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Все готово Сейчас кстати комп стал намного лучше работать, быстро и неполадок пока не замечаю.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('g:\windows\system32\sysrotdmo.sys','');
    QuarantineFile('g:\windows\system32\MsTgClient.exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Выслал.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    DeleteFile('g:\windows\system32\MsTgClient.exe');
    DeleteFile('g:\windows\system32\sysrotdmo.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Скрипт выполнил. Отправляю лог

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Порядок

    Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Выслал папку. Все обновил. Неужели теперь все вылечено и можно спать спокойно?

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Намного спокойнее будет после установки обновлений для системы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Ну я установил sp3 и IE8. Включил автоматическое обновление, выбрал пункт "Загружать обновления, но дать пользователю возможность выбрать время установки" правда не замечаю чтобы что-то обновлялось... Может вручную как то можно?

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Цитата Сообщение от ka0 Посмотреть сообщение
    Может вручную как то можно?
    Посетите http://update.microsoft.com
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    28.04.2010
    Сообщений
    16
    Вес репутации
    29
    Ясно Спасибо за помощь!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 55
    • В ходе лечения обнаружены вредоносные программы:
      1. g:\windows\system32\mstgclient.exe - Trojan.Win32.Buzus.dxff ( AVAST4: Win32:Flot-I [Trj] )


  • Уважаемый(ая) ka0, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус с флэшки заразил компьютер
      От kityacat в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.09.2011, 23:52
    2. мой комп заразил вирус, помогите
      От Ксения Ю в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.05.2011, 12:28
    3. Заразил комп от флешки
      От Evgesha в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.02.2011, 15:17
    4. Компьютер заражает флешки!
      От Lebetski в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.07.2010, 19:07
    5. Помогите!!!Заразил меня Пеленгатор v 1.7
      От Aртeм в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 02.06.2009, 17:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01472 seconds with 16 queries