-
Junior Member
- Вес репутации
- 51
Неизвестный авторанер rima.exe
Принесли комп делать. На нем стоит Авира.
Воткнул флешку, потом в свой комп.
На флешку записался авторанер.
Avast молчит.
Kaspersky молчит.
AVZ4 подозревает автораннер.
Удаляю с флешки - записывается сам.
В процессах все тихо...
дергает флешку...
В создаваемом autorun.inf интересные строчки:
Код:
;A very ancient and powerful vampire, he serves as the Hellsing Organization's most powerful operative and vampire expert and its trump card.
;Lei e' da vero tutto quello che ho Lei e' la sola che io voglio e che sempre vorrei Adesso e sempre l'amore resiste Non vivo senza di lei.
Гугл ни к чему не привел.
Выкладываю логи и карантин.
Последний раз редактировалось pig; 26.05.2010 в 23:28.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{5T6S7-G3D24-VC3YAW-I4F2S-6AGS4}');
QuarantineFile('F:\trazim_previse\od_ovih\rima.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\trazim_previse\od_ovih\rima.exe','');
DeleteFile('C:\trazim_previse\od_ovih\rima.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\trazim_previse\od_ovih\rima.exe');
DeleteFileMask('C:\trazim_previse', '*.*', true);
DeleteDirectory('C:\trazim_previse');
DeleteFileMask('F:\trazim_previse', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Спасибо, вроде помогло, на флешке ничего не создается.
Карантин выслал.
Новые логи прикрепил.
-
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
- обновите базы AVZ
- Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
Базы я первым делом обновил как avz скачал, еще вчера.....
Сейчас пишет
"Обновление баз не требуется"
Да, в высланноых логах есть строчка:
Загружена база: сигнатуры - 273084, нейропрофили - 2, микропрограммы лечения - 56, база от 25.05.2010 10:20
Так что базы новые...
Последний раз редактировалось eXell; 27.05.2010 в 12:55.
-
на счет баз ошибся... извините.
В логах чисто.
-
-
Junior Member
- Вес репутации
- 51
Огромное спасибо за помощь.
Есть пару вопросов:
Мусора после этой дряни не осталось?
И интересно.... почему ни один антивирь не увидел автораннер терзающий флешку...
Ах да...
После выполения скрипта
Код:
DeleteDirectory('C:\trazim_previse');
как оказалось, папка осталась на месте, но была не видна даже с включенным отображением скрытых и системных файлов и папкок.
Зашел в нее через адресную строку, поднялся на уровень выше - она появилась скрытой, удалил ее вручную. Папка была пуста.
-
Антивирусы лишь уменьшают риск заражения, но на 100% предотвратить заражение не в состоянии.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- f:\trazim_previse\od_ovih\rima.exe - Trojan.Win32.VB.afqu ( DrWEB: Win32.HLLW.Autoruner.21695, BitDefender: Trojan.Generic.4069676, AVAST4: Win32:Malware-gen )
-