-
Junior Member
- Вес репутации
- 63
Флешка инфицирована VBS.Igidak и не открывается
Доброго времени суток всем.
Есть проблема
Принес сегодня на флешке с другого компа информацию,
подключил , проверил от доктора Веба утилитой cureit. Утилита нашлы файлы инфицированные VBS.Igidak .
Удалил .
Теперь из проводника флешку нельзя открыть
пишет, выдает ошибку " Не удается найти файл сценария " путь флешки\autorun.vbs""
Описание в Интернете почти нет,
На форуме Веба, вот что http://forum.drweb.com/viewtopic.php?t=4514
Насколько я понят это если вирус уже в системе.
Вот логи
Последний раз редактировалось АлексейН; 17.05.2007 в 13:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
На этом форуме уже пару раз встречался.
Пока смотрю логи, в AVZ поискать autorun.* на всех доступных дисках. Найдется, удалять нещадно.
Затем в AVZ выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки прислать карантин через форму для загрузки файлов,
а лог boot_clr загрузить сюда.
Последний раз редактировалось PavelA; 30.03.2007 в 15:31.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
На форуме смотрю но пока не нашел эту тему
autorun.* ищу
-
Тема с subj: http://virusinfo.info/showthread.php?t=8481
Кроме того, есть описание по-моему на viruslist.com
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Алгоритм устранения последствий лечения данного типа вредоносов:
1. Запускаем проводник, включаем показ скрытых и системных файлов.
2. Просматриваем корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров) и удаляем там все файлы autorun.*.
3. Запускаем редактор реестра и делаем две вещи:
а) Находим параметр HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon/Userinit. Если в нем присутствует autorun.bat - убираем оттуда autorun.bat (должно быть C:\WINDOWS\system32\userinit.exe и ничего более).
б) Удаляем целиком ключ HKCU/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.
Пункт 3-б повторяем для всех юзеров системы.
Вуаля
-
-
Junior Member
- Вес репутации
- 63
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll',' ');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end
Сделал
Карантин за сегодняшнее число послал
только без пароля
Последний раз редактировалось АлексейН; 17.05.2007 в 13:34.
-
Junior Member
- Вес репутации
- 63
) Находим параметр HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon/Userinit
Такой строчки в реестре не нашел
б) Удаляем целиком ключ HKCU/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.
Пункт 3-б повторяем для всех юзеров системы.
Юзвер я один и то доменный
-
Такой строчки в реестре не нашел
Плохо искали, его не может не быть Обратите внимание - Userinit это не подраздел в Winlogon, а параметр, т.е. слева выделяем Winlogon, а справа ищем в списке Userinit.
-
-
Junior Member
- Вес репутации
- 63
Понятно буду искать
Да кстати на флешку могу заходить из под проводника
нормально, т.е. флешка открывается, ошибку при открытии
не выдает
-
В карантин 'C:\WINDOWS\system32\cpadvai.dll' не попал.
Похоже, что он от Crypto Pro.
Теперь про aurorun (выписка с форума Dr.Web):
>В корневых каталогах всех дисков и в папке Win\System32 грохнуть 13 файлов autorun с расширениями: ~ex, bat, bin, exe, ico, inf, ini, reg, srm, txt, vbs, wsh, inf_?????, причем последний из-под Win не удаляется, надо из Dos или ERD Commander.
>Далее в реестре:
>1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в параметре "Userinit"="userinit.exe,autorun.bat" убрать все, что за запятой (запятую оставить!)
>2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] удалить параметр "ShowSuperHidden"=dword:000000
Вероятнее всего понадобиться только последний совет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
inf_?????, причем последний из-под Win не удаляется
Странно, у меня удалялся без проблем.
-
-
@Bratez
В вашем районе Винда запросто поддерживает корейский/японский язык
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Далее в реестре:
>1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в параметре "Userinit"="userinit.exe,autorun.bat" убрать все, что за запятой (запятую оставить!)
После запятой ничего нет
>2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] удалить параметр "ShowSuperHidden"=dword:000000
Удалил параметр
Да Крипто_Про стоит на компе
При глобальном поике файлов autorun у меня вызывает подозрение вот этот
AUTORUN.EXE-055703AF.pf Путь C\WindowPrefetch
>В корневых каталогах всех дисков и в папке Win\System32 грохнуть 13 файлов autorun с расширениями: ~ex, bat, bin, exe, ico, inf, ini, reg, srm, txt, vbs, wsh, inf_?????, причем последний из-под Win не удаляется, надо из Dos или ERD Commander.
На всех дисках нет таких файлов нет
Я флешку воткнул и сразу проверил на вирусы бесплатной утилитой от Веба
или может быть еще не успел распространиться?????
-
Junior Member
- Вес репутации
- 63
PavelA СПАСИБО ЗА помощь!!!!!!!!!!!!
Завтра проверю постараюсь комп
Еще вопрос
А Как быть с тем компом откуда пошла это зараза?????
Комп не мой, а работать то надо.
Лечить точно таким же методом????????
-
Создать новую тему, приложить логи, а там как фишка ляжет.
Из Prefetch можно грохнуть этот файл. Это не повредит.
Самое главное - флешка нормально теперь открывается?
И еще ключик реестра из п.б совета Bratez нашелся?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
3. Запускаем редактор реестра и делаем две вещи:
а) Находим параметр HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon/Userinit. Если в нем присутствует autorun.bat - убираем оттуда autorun.bat (должно быть C:\WINDOWS\system32\userinit.exe и ничего более).
Вот что у меня
C:\WINDOWS\system32\userinit.exe,
Получается у меня все нормально
Идем дальше
б) Удаляем целиком ключ HKCU/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.
Пункт 3-б повторяем для всех юзеров системы.
Такого ключа нет
-
Junior Member
- Вес репутации
- 63
Создать новую тему, приложить логи, а там как фишка ляжет.
Комп не мой будет необходимо так и сделаем
Всем кто принимал участие ОГРОМНОЕ СПАСИБО
ВСЕ ВЫЛЕЧИЛ
Отдельное СПАСИБО PavelA и Bratez
Такое событие необходимо отметить выздоровление
бедного компьютера