Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус на флешке или ноуте??? (http://forum.oszone.net/showthread.php?t=208408)

Dead_Rocker 06-06-2011 23:01 1689633

Вирус на флешке или ноуте???
 
Доброго времени суток! На днях в ноутбук вставили флешку для просмотра файлов,после этого на каждой другой подключенной к этому ноуту флешке все папки стали отображаться в виде ярлыков. программой AntiMalware и Eset NOD32 сканировал ноутбук - не нашлось ничего подозрительного. На всех флешках, открытых на этом ноутбуке, обнаружился троян в папке Recycler. Был вылечен,но при повторном подключении все равно вылезал. При этом на домашнем ПК эти же флешки читаются нормально. Сделал файл .bat с содержимым : attrib -S -H /D /S. Он возвратил нормальный вид папок, но при повторном включении той же флешки в ноутбук ситуация не изменилась - все те же ярлыки. Помогите пожалуйста.

Kaspersky Removal Tool обнаружил на флешках Backdoor.Win32.Ruskill.z в папке RECYCLER. Был удален, но при повторном подключении флешек опять тот же вирус там же! Может он откуда-то с ноута пишется? автозапуск отключил,кстати.

Farger 07-06-2011 00:33 1689666

Здравствуйте,

Сделайте логи согласно этим правилам с подключенной флешкой.

zirreX 07-06-2011 00:33 1689667

Необходимо отключить автозапуск со всех устройств, кроме CD-DVD привода.

Скопируйте этот текст в блокнот и сохраните под любым именем с расширением .reg
Запустите этот файл и подтвердите внесение информации в реестр.
Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Вставьте все заражённые флешки и подготовьте логи по правилам раздела

Dead_Rocker 07-06-2011 21:49 1690256

Вложений: 4
Проделал все операции, выкладываю логи.

Farger 07-06-2011 23:17 1690309

C:\Windows\SysWOW64\nvinit.dll проверьте на virustotal и ссылку на результат запостите здесь


1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\user\AppData\Roaming\Pqieit.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Pqieit.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pqieit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Сделайте лог HJT

4. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

5. Обновите AVZ и повторите логи AVZ+RSIT

Dead_Rocker 08-06-2011 19:10 1690951

Ссылка на проверенный файл:
http://www.virustotal.com/file-scan/...d53-1302789445

Почистил ATF cleaner,запустил AVZ с первым скриптом:
Цитата:

Цитата Farger
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\user\AppData\Roaming\Pqieit.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Pqieit.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pqieit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. »

Тут же вылезла ошибка "Программа AVZ не работает" и программа закрывается.

Кстати, после первой проверки флешка на ноутбуке стала нормально восприниматься, т.е. папки - это уже папки, а не ярлыки.

Farger 08-06-2011 19:30 1690964

Здравствуйте,

Из скрипта AVZ уберите строку
Цитата:

SearchRootkit(true, true);
и выполните скрипт.

Dead_Rocker 08-06-2011 20:09 1690986

Вложений: 1
Создалась папка Quarantine,но в ней нет ни одного файла, даже скрытого. Это нормально?

SolarSpark 08-06-2011 22:28 1691095

Dead_Rocker, значит, что файлы в карантин не попали.. Антивирь отключали?

Цитата:

Цитата Farger
3. Сделайте лог HJT »

Цитата:

Цитата Farger
5. Обновите AVZ и повторите логи AVZ+RSIT »


Dead_Rocker 08-06-2011 22:38 1691107

SolarSpark, отключал (nod 32,anti-malware).

Farger 08-06-2011 22:51 1691112

Dead_Rocker, сделайте HiJackThis лог и повторные логи AVZ (не забудьте перед этим обновить AVZ)+RSIT.

Dead_Rocker 09-06-2011 11:03 1691298

Farger, к вечеру будут готовы! Насчет обновления AVZ - ноутбук я к интернету не подключал, сойдет обновление с помощью скачанных баз? =)

SolarSpark 09-06-2011 12:54 1691373

Dead_Rocker, главное, чтобы обновили, не важно как

Dead_Rocker 09-06-2011 18:10 1691575

Вложений: 3
Еще раз проверил, высылаю логи.

Farger 10-06-2011 00:00 1691770

Здравствуйте,

По какой причине не сделали HJT лог? Базы AVZ так и не обновили...

Что с проблемо?

От какой утилиты эти текстовые документы: C:\RAFR.1.0.0.0_07.06.2011_00.36.06_log.txt, C:\RAFR.1.0.0.0_06.06.2011_22.12.39_log.txt и C:\RAFR.1.0.0.0_06.06.2011_22.11.43_log.txt ?

Запускали TDSSKiller, прикрепите лог, посмотрим.

Что в папке C:\tmp?

Dead_Rocker 10-06-2011 10:51 1691952

Вложений: 5
Farger, Avz я запустил на домашнем ПК,обновил базы, скинул на ноутбук и выполнил скрипты. Разве такой вариант обновления не подходит? программа же создает папку Base, где все обновления лежат.
В папке C:\tmp пусто.
Файлы RAFR..... от программки Flash restoring tool for Worm.Win32.Radminer, скачивал ее с сайта Касперского. Прикрепляю лог hjt.

Dead_Rocker 10-06-2011 10:54 1691957

Farger, кстати лог HJT почему-то не могу загрузить сюда. Пришлось класть в архив.

Farger 10-06-2011 13:26 1692052

Здравствуйте,

Емуляторы дисков используете?

Что в проблемой?

Dead_Rocker 10-06-2011 16:03 1692155

Farger, использую Daemon tools. Проблема вроде как решилась, флешка нормально открывается. А что-нибудь необычное\опасное в логах обнаружилось?

Farger 10-06-2011 18:16 1692231

Цитата:

Цитата Dead_Rocker
А что-нибудь необычное\опасное в логах обнаружилось? »

В логах ничего подозрительного уже нет.

Кстати, ответ на ваш запрос с лаборатории вы получили?

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск -> Выполнить -> cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Цитата:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
Нажмите Enter. Для подтверждения перезаписи нажмите Y.

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!
- [Рекомендация] также можете, для предотвращения вирусов, распространяющихся с USB-устройств, установить Panda USB Vaccine

+ обновите Adobe Flash Player

Dead_Rocker 10-06-2011 20:14 1692289

Farger, огромное спасибо!!!!

Farger 10-06-2011 22:30 1692354

Пожалуйста :)


Время: 10:11.

Время: 10:11.
© OSzone.net 2001-