Показано с 1 по 17 из 17.

Флешка инфицирована VBS.Igidak и не открывается (заявка № 8727)

  1. #1
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40

    Thumbs up Флешка инфицирована VBS.Igidak и не открывается

    Доброго времени суток всем.
    Есть проблема
    Принес сегодня на флешке с другого компа информацию,
    подключил , проверил от доктора Веба утилитой cureit. Утилита нашлы файлы инфицированные VBS.Igidak .
    Удалил .
    Теперь из проводника флешку нельзя открыть
    пишет, выдает ошибку " Не удается найти файл сценария " путь флешки\autorun.vbs""
    Описание в Интернете почти нет,
    На форуме Веба, вот что http://forum.drweb.com/viewtopic.php?t=4514
    Насколько я понят это если вирус уже в системе.

    Вот логи
    Последний раз редактировалось АлексейН; 17.05.2007 в 12:34.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    На этом форуме уже пару раз встречался.
    Пока смотрю логи, в AVZ поискать autorun.* на всех доступных дисках. Найдется, удалять нещадно.

    Затем в AVZ выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     BC_ImportQuarantineList;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
    BC_Activate; 
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через форму для загрузки файлов,
    а лог boot_clr загрузить сюда.
    Последний раз редактировалось PavelA; 30.03.2007 в 14:31.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    На форуме смотрю но пока не нашел эту тему
    autorun.* ищу

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Тема с subj: http://virusinfo.info/showthread.php?t=8481
    Кроме того, есть описание по-моему на viruslist.com
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Алгоритм устранения последствий лечения данного типа вредоносов:
    1. Запускаем проводник, включаем показ скрытых и системных файлов.
    2. Просматриваем корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров) и удаляем там все файлы autorun.*.
    3. Запускаем редактор реестра и делаем две вещи:
    а) Находим параметр HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon/Userinit. Если в нем присутствует autorun.bat - убираем оттуда autorun.bat (должно быть C:\WINDOWS\system32\userinit.exe и ничего более).
    б) Удаляем целиком ключ HKCU/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.
    Пункт 3-б повторяем для всех юзеров системы.
    Вуаля

  7. #6
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    Код:
    begin
    SearchRootkit(true, true);
    QuarantineFile('C:\WINDOWS\system32\cpadvai.dll',' ');
    BC_ImportQuarantineList;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end
    Сделал
    Карантин за сегодняшнее число послал
    только без пароля
    Последний раз редактировалось АлексейН; 17.05.2007 в 12:34.

  8. #7
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    ) Находим параметр HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon/Userinit
    Такой строчки в реестре не нашел
    б) Удаляем целиком ключ HKCU/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.
    Пункт 3-б повторяем для всех юзеров системы.
    Юзвер я один и то доменный

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Такой строчки в реестре не нашел
    Плохо искали, его не может не быть Обратите внимание - Userinit это не подраздел в Winlogon, а параметр, т.е. слева выделяем Winlogon, а справа ищем в списке Userinit.

  10. #9
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    Понятно буду искать

    Да кстати на флешку могу заходить из под проводника
    нормально, т.е. флешка открывается, ошибку при открытии
    не выдает

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В карантин 'C:\WINDOWS\system32\cpadvai.dll' не попал.
    Похоже, что он от Crypto Pro.

    Теперь про aurorun (выписка с форума Dr.Web):
    >В корневых каталогах всех дисков и в папке Win\System32 грохнуть 13 файлов autorun с расширениями: ~ex, bat, bin, exe, ico, inf, ini, reg, srm, txt, vbs, wsh, inf_?????, причем последний из-под Win не удаляется, надо из Dos или ERD Commander.
    >Далее в реестре:
    >1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в параметре "Userinit"="userinit.exe,autorun.bat" убрать все, что за запятой (запятую оставить!)
    >2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] удалить параметр "ShowSuperHidden"=dword:000000

    Вероятнее всего понадобиться только последний совет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    inf_?????, причем последний из-под Win не удаляется
    Странно, у меня удалялся без проблем.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    @Bratez
    В вашем районе Винда запросто поддерживает корейский/японский язык
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    Далее в реестре:
    >1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в параметре "Userinit"="userinit.exe,autorun.bat" убрать все, что за запятой (запятую оставить!)
    После запятой ничего нет
    >2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] удалить параметр "ShowSuperHidden"=dword:000000
    Удалил параметр

    Да Крипто_Про стоит на компе

    При глобальном поике файлов autorun у меня вызывает подозрение вот этот
    AUTORUN.EXE-055703AF.pf Путь C\WindowPrefetch
    >В корневых каталогах всех дисков и в папке Win\System32 грохнуть 13 файлов autorun с расширениями: ~ex, bat, bin, exe, ico, inf, ini, reg, srm, txt, vbs, wsh, inf_?????, причем последний из-под Win не удаляется, надо из Dos или ERD Commander.
    На всех дисках нет таких файлов нет

    Я флешку воткнул и сразу проверил на вирусы бесплатной утилитой от Веба
    или может быть еще не успел распространиться?????

  15. #14
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    PavelA СПАСИБО ЗА помощь!!!!!!!!!!!!
    Завтра проверю постараюсь комп

    Еще вопрос
    А Как быть с тем компом откуда пошла это зараза?????
    Комп не мой, а работать то надо.
    Лечить точно таким же методом????????

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Создать новую тему, приложить логи, а там как фишка ляжет.

    Из Prefetch можно грохнуть этот файл. Это не повредит.
    Самое главное - флешка нормально теперь открывается?
    И еще ключик реестра из п.б совета Bratez нашелся?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    3. Запускаем редактор реестра и делаем две вещи:
    а) Находим параметр HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon/Userinit. Если в нем присутствует autorun.bat - убираем оттуда autorun.bat (должно быть C:\WINDOWS\system32\userinit.exe и ничего более).
    Вот что у меня
    C:\WINDOWS\system32\userinit.exe,
    Получается у меня все нормально
    Идем дальше
    б) Удаляем целиком ключ HKCU/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.
    Пункт 3-б повторяем для всех юзеров системы.
    Такого ключа нет

  18. #17
    Junior Member Репутация
    Регистрация
    14.03.2007
    Адрес
    г.Cальск,Ростовская обл.
    Сообщений
    77
    Вес репутации
    40
    Создать новую тему, приложить логи, а там как фишка ляжет.
    Комп не мой будет необходимо так и сделаем

    Всем кто принимал участие ОГРОМНОЕ СПАСИБО

    ВСЕ ВЫЛЕЧИЛ
    Отдельное СПАСИБО PavelA и Bratez

    Такое событие необходимо отметить выздоровление
    бедного компьютера

  • Уважаемый(ая) АлексейН, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 15
      Последнее сообщение: 03.10.2009, 18:33
    2. Не открывается флешка.
      От NightNEo в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.10.2008, 19:27
    3. Система инфицирована?
      От pomy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.02.2008, 14:16
    4. VBS.Igidak&Trojan.Regger
      От PORSHEvchik в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.07.2007, 02:53
    5. VBS.Igidak
      От Pechalny007 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.06.2007, 13:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00186 seconds with 16 queries