-
Junior Member
- Вес репутации
- 49
Зараза на флешке
Здравствуйте.
Словил какую-то бяку через флешку.
Антивирусы не реагируют.
Видимые симптомы:
при подключении флешки на ней создается файл autorun.txt и некая (названия разные) скрытая папка в которой лежит один файл *.exe (в последние разы это insomnia\jkdrolja.exe). Эти папки и файлы не удаляются, однако легко выкашиваются на другом компе.
(Полагаю, что ситуация аналогична описанной в http://virusinfo.info/showthread.php?p=738037). Скрытый файл *\Application Data\nsvb.exe также присутсвтовал - удалить его я не сумел. Через некоторое время он пропал сам, а директорией выше появился какой-то yeawl.exe с теми же свойствами.
Жду помощи.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\2c7a74eb.exe','');
QuarantineFile('C:\WINDOWS\system32\3da9fe38.exe','');
QuarantineFile('C:\WINDOWS\system32\8b7a8716.exe','');
QuarantineFile('C:\WINDOWS\system32\97af8bee.exe','');
QuarantineFile('C:\WINDOWS\system32\c19511ea.exe','');
QuarantineFile('C:\WINDOWS\system32\f1a88ff.exe','');
QuarantineFile('C:\WINDOWS\system32\fb87d6e5.exe','');
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\Documents and Settings\FROOD\yeawl.exe','');
DeleteFile('C:\Documents and Settings\FROOD\yeawl.exe');
DeleteFileMask('C:\Documents and Settings\FROOD','*.*',true);
DeleteDirectory('C:\Documents and Settings\FROOD');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
DeleteFile('C:\WINDOWS\system32\fb87d6e5.exe');
DeleteFile('C:\WINDOWS\system32\f1a88ff.exe');
DeleteFile('C:\WINDOWS\system32\c19511ea.exe');
DeleteFile('C:\WINDOWS\system32\97af8bee.exe');
DeleteFile('C:\WINDOWS\system32\8b7a8716.exe');
DeleteFile('C:\WINDOWS\system32\3da9fe38.exe');
DeleteFile('C:\WINDOWS\system32\2c7a74eb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Прокси сами настраивали? - R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80
- Повторите логи
-
-
Junior Member
- Вес репутации
- 49
что-то пошло не так. АВЗ завис. Компьютер не перезагрузился.
Что делать? Перезагрузить принудительно?
В окне зависшего АВЗ красным повторяется: Карантин с использованием прямого чтения - ошибка
-
-
-
Junior Member
- Вес репутации
- 49
Я в панике.
Перезагрузка после некоторого ожидания все-таки произошла.
Но я попал в чистый рабочий стол нет моей почтовой программы. Нет ничего! Не помню ни одного пароля!
Даже сюда вернулся просто чудом. Вспомнил таки почту и через восстановления здешнего пароля! Что делать?
-
Сообщение от
Olejah
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Прокси сами настраивали? - R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80
- Повторите логи
Вот это
-
-
Junior Member
- Вес репутации
- 49
файла quarantine.zip в папке AVZ у меня нет. есть папка Quarantine, а в ней папка 2010-12-11.
- Прокси я не настраивал, даже не знаю, что это за строка
-
Пофиксите в hijackthis -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80
- Что с подготовкой новых логов, есть возможность?
-
-
Junior Member
- Вес репутации
- 49
Сейчас сделаю.
А Мои Документы умерли навсегда?
Добавлено через 11 минут
Пофиксить строку R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.aha.ru:80 не могу, ее нет в логах
Последний раз редактировалось Wsm; 11.12.2010 в 19:25.
Причина: Добавлено
-
К сожалению мною была допущена глупейшая и чудовищная ошибка - случайно в скрипт вместе с удалением вирусов попала строка удаления Ваших документов. Приношу свои глубочайшие и искренние извинения и даже не знаю как загладить свою вину, за такою оплошность.
-
-
Junior Member
- Вес репутации
- 49
Послал файл quarantine.zip
-
Junior Member
- Вес репутации
- 49
-
Плохого не увидел, что с проблемой?
-
-
Junior Member
- Вес репутации
- 49
Первоначальная проблема как-то забылась.
Теперь все мысли о том чем заполнить освободившиеся 9Гб на диске...
Да, теперь флешка не засоряется...
Если у меня теперь при восстановлении будут появляться технические сложности, за помощью хоть можно обращаться? И по какому каналу связи?
-
Ещё раз прошу прощения. Но могу Вам честно заявить - вирусы были тоже вычищены. Рекомендуется сменить все используемые пароли, так как именно этот вирус их крадёт.
Обращайтесь. Сюда.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\frood\\yeawl.exe - Trojan.Win32.Pincav.aozt ( DrWEB: Trojan.Packed.21305, BitDefender: Gen:Heur.ManBat.1, AVAST4: Win32:AutoRun-BRS [Trj] )
-