-
Junior Member
- Вес репутации
- 56
Не удаляемый вирус bagra.exe (обновлено)
Здравствуйте.
Проблема в следующем.
Через флешку попал на ноутбук вирус из 2 файлов: autorun.inf и stara/bagra.exe
И далее распространился еще на несколько носителей. Полная их очистка не помогла, с предварительным поиском вредоносных exe'шников на ноутбуке - эти файлы моментально создаются на любом носителе при подключении. По адресу C:\Documents and Settings\ADMIN\ctfmon.exe был найден и удален единственный "засветившийся" файл, тем не менее при выходе из виндовс появляется на пару секунд окошко завершения программы с заголовком в виде различных смайлов (типа :-p или >-o). При этом из диспетчера задач выгружалось все, что только возможно, но неизвестных процессов не было найдено. Окно с завершением программы появляется не всегда, а насколько я заметил, только при подключенном внешнем носителе (даже пустом, только с двумя файлами вируса, даже после их удаления).
Вопрос в том, как искоренить вирус не только с ноутбука, но и с внешних носителей (2 флешки и hdd), таким образом чтобы он снова не попал в ноут.
Последний раз редактировалось flyone; 02.06.2010 в 18:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ADMIN\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\ADMIN\ctfmon.exe');
QuarantineFile('C:\Program Files\Startup Faster\startuploader.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
