Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   WIN32/AutoRun.RW червь кто знаком с таким вирусом? (http://forum.oszone.net/showthread.php?t=117657)

violet_jercy 19-09-2008 13:52 903246
WIN32/AutoRun.RW червь кто знаком с таким вирусом?
 
Добрый день. Не могу найти ответа в итернете (на запрос ни чего не дает) что это за вирус такой- WIN32/AutoRun.RW червь? У меня Nod32 2.7 вирусная база данных 3453. Проблема моя такова: началось с того, что появилось и быстро исчезло окошко, в котором я успела прочитать только слово "копирование". Потом через какое-то время мой Нод стал кричать:Файл: C:\DOCUME~1\BBDA~1.SER\LOCALS~1\Temp\$1f.dll Вирус: WIN32/AutoRun.RW червь. Комментарий:Событие прошло в файле модифицированном приложением C:\WINDOWS\Explorer.EXE Файл был перемещен в карантин. Можете закрыть это окно. И не оставляет вариантов, закрыть и все. Я нашла на диске С и вручную удалила папку BBDA~1.SER. после принудительной проверк Нод ни чего не обнаружил. Однако на следующий день он мне ровно через каждые 2 часа выдает такое же тревожное сообщение, с анологичным содержанием проблемы, но на диске С уже нет подобной папки (в скрытых тоже нет), а он все равно ссылается на нее. И , не знаю, имеет ли эта деталь значение, но при открытии приложения Internet Explorer я обнаружила в паспорте регистрации на mail.ru чужой незнакомый адрес..... Очень надеюсь на помощь опытных пользователей, заранее благодарна.

Pili 19-09-2008 14:17 903261
violet_jercy, Здравствуйте. Сделайте пожалуйста логи по правилам

violet_jercy 19-09-2008 16:40 903362
Вложений: 1
прикрепляю запрошеные файла, надеюсь все сделала правильно

Pili 19-09-2008 17:44 903419
violet_jercy, Отключите восстановление системы! Удалите MyWebSearch Toolbar через установку/удаление программ
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('qqd.sys', 4);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
 QuarantineFile('C:\qqd.sys','');
 DeleteService('qqd.sys');
 DeleteFile('C:\qqd.sys');
 DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteSysClean;
 BC_DeleteSvc('qqd.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm119YYRU
O21 - SSODL: UpdateCheck - {3B7236EE-1A56-4B73-98B4-805AA3AFDC04} - (no file)
O24 - Desktop Component 0: (no name) - http://www.leonardihotels.com/common_images/body_bg.gif
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Повторите логи


Время: 19:50.

Время: 19:50.
© OSzone.net 2001-