Доброго времени суток! На днях в ноутбук вставили флешку для просмотра файлов,после этого на каждой другой подключенной к этому ноуту флешке все папки стали отображаться в виде ярлыков. программой AntiMalware и Eset NOD32 сканировал ноутбук - не нашлось ничего подозрительного. На всех флешках, открытых на этом ноутбуке, обнаружился троян в папке Recycler. Был вылечен,но при повторном подключении все равно вылезал. При этом на домашнем ПК эти же флешки читаются нормально. Сделал файл .bat с содержимым : attrib -S -H /D /S. Он возвратил нормальный вид папок, но при повторном включении той же флешки в ноутбук ситуация не изменилась - все те же ярлыки. Помогите пожалуйста.

Kaspersky Removal Tool обнаружил на флешках Backdoor.Win32.Ruskill.z в папке RECYCLER. Был удален, но при повторном подключении флешек опять тот же вирус там же! Может он откуда-то с ноута пишется? автозапуск отключил,кстати.

Здравствуйте,

Сделайте логи согласно этим (http://www.forum.oszone.net/thread-98169.html) правилам с подключенной флешкой.

Необходимо отключить автозапуск со всех устройств, кроме CD-DVD привода.

Скопируйте этот текст в блокнот и сохраните под любым именем с расширением .reg
Запустите этот файл и подтвердите внесение информации в реестр.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Вставьте все заражённые флешки и подготовьте логи по правилам раздела (http://forum.oszone.net/thread-98169.html)

Проделал все операции, выкладываю логи.

C:\Windows\SysWOW64\nvinit.dll проверьте на virustotal (http://www.virustotal.com/) и ссылку на результат запостите здесь


1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\user\AppData\Roaming\Pqieit.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Pqieit.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pqieit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Сделайте лог HJT (http://forum.oszone.net/thread-177677.html)

4. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

5. Обновите AVZ и повторите логи AVZ+RSIT

Ссылка на проверенный файл:
http://www.virustotal.com/file-scan/report.html?id=a7ec297c7f87364cce3dcfae504580ff793e1d1f6b1819bcb331533003195d53-1302789445

Почистил ATF cleaner,запустил AVZ с первым скриптом:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\user\AppData\Roaming\Pqieit.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Pqieit.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pqieit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. »
Тут же вылезла ошибка "Программа AVZ не работает" и программа закрывается.

Кстати, после первой проверки флешка на ноутбуке стала нормально восприниматься, т.е. папки - это уже папки, а не ярлыки.

Здравствуйте,

Из скрипта AVZ уберите строку SearchRootkit(true, true);

и выполните скрипт.

Создалась папка Quarantine,но в ней нет ни одного файла, даже скрытого. Это нормально?

Dead_Rocker, значит, что файлы в карантин не попали.. Антивирь отключали?

3. Сделайте лог HJT »
5. Обновите AVZ и повторите логи AVZ+RSIT »

SolarSpark, отключал (nod 32,anti-malware).

Dead_Rocker, сделайте HiJackThis лог и повторные логи AVZ (не забудьте перед этим обновить AVZ)+RSIT.

Farger, к вечеру будут готовы! Насчет обновления AVZ - ноутбук я к интернету не подключал, сойдет обновление с помощью скачанных баз? =)

Dead_Rocker, главное, чтобы обновили, не важно как

Еще раз проверил, высылаю логи.

Здравствуйте,

По какой причине не сделали HJT лог? Базы AVZ так и не обновили...

Что с проблемо?

От какой утилиты эти текстовые документы: C:\RAFR.1.0.0.0_07.06.2011_00.36.06_log.txt, C:\RAFR.1.0.0.0_06.06.2011_22.12.39_log.txt и C:\RAFR.1.0.0.0_06.06.2011_22.11.43_log.txt ?

Запускали TDSSKiller, прикрепите лог, посмотрим.

Что в папке C:\tmp?

Farger, Avz я запустил на домашнем ПК,обновил базы, скинул на ноутбук и выполнил скрипты. Разве такой вариант обновления не подходит? программа же создает папку Base, где все обновления лежат.
В папке C:\tmp пусто.
Файлы RAFR..... от программки Flash restoring tool for Worm.Win32.Radminer, скачивал ее с сайта Касперского. Прикрепляю лог hjt.

Farger, кстати лог HJT почему-то не могу загрузить сюда. Пришлось класть в архив.

Здравствуйте,

Емуляторы дисков используете?

Что в проблемой?

Farger, использую Daemon tools. Проблема вроде как решилась, флешка нормально открывается. А что-нибудь необычное\опасное в логах обнаружилось?

А что-нибудь необычное\опасное в логах обнаружилось? »

В логах ничего подозрительного уже нет.

Кстати, ответ на ваш запрос с лаборатории вы получили?

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск -> Выполнить -> cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите Enter. Для подтверждения перезаписи нажмите Y.

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe).
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster (http://www.javacoolsoftware.com/spywareblaster.html). Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt! (http://www.freedrweb.com/cureit/)
- [Рекомендация] также можете, для предотвращения вирусов, распространяющихся с USB-устройств, установить Panda USB Vaccine (http://www.pandasecurity.com/russia/homeusers/downloads/usbvaccine/)

+ обновите Adobe Flash Player (http://www.adobe.com/products/flashplayer/)