Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » [решено] Как удалить два "неудаляемых" вируса, их "назначение", и принцип работы

Ответить
Настройки темы
[решено] Как удалить два "неудаляемых" вируса, их "назначение", и принцип работы

Аватара для Drongo

Будем жить, Маэстро...


Moderator


Сообщения: 6695
Благодарности: 1391


Конфигурация

Профиль | Сайт | Отправить PM | Цитировать


С Днём Победы всех! Здоровья крепкого!

В общем расклад такой
Предистория\пролог
Есть ноутбук, на котором есть 6 логических дисков. C: - D: - E: - F: - G: - H:, антивирусника на нём не было. Точно знаю, что были там вирусы. Форматнул диск C:, установил систему, драйвера, и... понял, интуиция или ещё как? Но понял точно, что вирусы есть всё равно, переустановка не помогла удалить их. Подключил ноут по локальному соединению к своему стационарному компу, проверил Касперским, предварительно обновив базы. Антивирус нашёл 12 опасных объекта: 6 Вирусов и 6 Троянов. На каждом диске, в корне лежало два одинаковый файла:
Код: Выделить весь код
autorun.inf
u.bat
Файл autorun.inf, содержит такой код:
Код: Выделить весь код
;41w3DaA7oaaqi2c5diZ3AnLfS5K7dejwAKraesK78aFk0k1i3swi1LAfwak4a2w3wwll0S2worJr2qdk4ks4
[AutoRun]
;iAkSk4kwoj0deoqL3wK2wJJ8pic71c99kai3241wkD
open=u.bat
;iapsif33s3dJksS4i53wkp1swJl10ikKafDkk22KelDosAKdaw3
shell\open\Command=u.bat
;k
shell\open\Default=1
;qikLHZkasq2dpskdl4sK
shell\explore\Command=u.bat
;fw0
Понятно, что он запускает файл u.bat, назначение которого мне неясно, может поскольку он троян, то что-то кому-то передавать?
Антивирус Касперского идентифицирует их как:
Код: Выделить весь код
вирус Worm.Win32.AutoRun.bnq	Файл: \\Alexandr\MEDIA (G)\autorun.inf
троянская программа Trojan-PSW.Win32.OnLineGames.nhx	Файл: \\Alexandr\MEDIA (G)\u.bat
Вот скрин:


Мои действия и попытки удалить
Удаление этих файлов антивирусом, не решает проблему, он их конечно удаляет, но они потом восстанавливаются. Данные файлы, имеют атрибуты: Скрытый, Системный, Только для чтения. Поэтому на ноуте я не могу выставить отображение скрытых и системных файлов, решение предложенное в этой теме Доступ - [решено] Помогите отобразить скрытые папки и файлы! проблему не решает. С ноута их не видно, с моего компа через локалку, я их вижу, и удаляю вручную, через секунд 15-20 они чудесным образом появляются на диске. Решил пойти таким путём, решил переименовать их, но номер не прошёл, они переименовались, но это действие было эквивалентно < Shift + Del >, всё равно по прошествии пол минуты они появляются. Следующий мой шаг был через команду:
Код: Выделить весь код
attrib u.bat -s -h -r
снять все атрибуты, потому что снятие через Свойства - снять галочку Только для чтения, тоже не решает, атрибуты: Скрытый, Системный, Только для чтения, восстанавливаются, хоть через командную строку, хоть через Свойства. Потом хотел изменить содержимое autorun.inf, выставив знак " ; " перед строками, что ниже, (можете смотреть, или нет), но скажу, сразу не помогло, хоть и подтверждается запись, и изменяется, но содержимое остаётся неизменным.
читать дальше »
Код: Выделить весь код
;41w3DaA7oaaqi2c5diZ3AnLfS5K7dejwAKraesK78aFk0k1i3swi1LAfwak4a2w3wwll0S2worJr2qdk4ks4
[AutoRun]
open=u.bat
shell\open\Command=u.bat
shell\open\Default=1
shell\explore\Command=u.bat

Последний ход был, скорее агоничным. Загрузился я с загрузочного CD - запуситл Volcov Commander, и в чистом DOS'e, попробовал удалить их нажав клавишу F8 Delete - не удалились, выдало сообщение с выделенной буквой, для файла: (буквы которые были выделенны, тут выделены жирным курсивом)

autorun.inf
u.bat

С перемещением вышли те же грабли... Хотел переместить в одну папку и потом грохнуть... Не судьба... Но интересно ведь, неужели я не могу их победить?! Они ничем не проявляют себя, кроме того, что эти файлы присутствуют и нельзя другие файлы отобразить если они скрытые и системные. Есть конечно вариант с форматированием всего винчестера, но это крайняя мера, поскольку там есть законодательные и бухгалтерские базы. Таблицы и документы... В связи с этим, возникают несколько вопросов:
1. Что это за вирусы? Их назначение? (Если они только в корне диска и всё.)
2. Насколько безопасно будет перекопировать все данные с одного компа на другой, кроме этих вирусов? (Не передадутся ли и они, как "бонус", с копированием?)
3. Как их всё таки удалить? (Поскольку те выделенные буквы, как будто комп не понимает имени файла, так и пишет: Bad command or name file, когда я из под DOS'a, хочу их удалить, команды вводил правильно.)
4. Возможно ли их удалить без форматирования всего винчестера?! (Как я понял, если трояны, то кроме как "уворовывания и слежения" за ноутом, у них нет другого назначения?)
Была ещё задумка(ночью пришла), написать .cmd с таким содержимым:
Код: Выделить весь код
@echo off

del C:\autorun.inf
del C:\u.bat
del D:\autorun.inf
del D:\u.bat
del E:\autorun.inf
del E:\u.bat
del F:\autorun.inf
del F:\u.bat
del G:\autorun.inf
del G:\u.bat
del H:\autorun.inf
del H:\u.bat
Чтобы сразу удалить все файлы во всех дисках, может тогда они не успеют восстановиться? Потому что если они где-то в другом месте ещё зарыты или как-то связаны с win.ini, то я не знаю, с локалки я туда не могу зайти, а с ноута не видно этого файла...

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]


Отправлено: 16:57, 10-05-2008

 

Аватара для Котяра

Ветеран


Сообщения: 2907
Благодарности: 331

Профиль | Отправить PM | Цитировать


Drongo, попробуйте загрузится с диска Windows PE/bartPE, а не DOS и удалить их.
И какого содержание u.bat? скиньте мне в PM. Только в виде текста!

А файла d.com случайно нет? А то, судя, по информации из Интернета, он из этой же вирусной "семьи".

Цитата Drongo:
\\Alexandr\MEDIA (G)\autorun.inf »
Цитата Drongo:
\\Alexandr\MEDIA (G)\u.bat »
Так вы пытаетесь "лечить" компьютер через локальную сеть? :-0


========================
И еще:
можно просканировать систему утилитой drweb cureit! (http://freedrweb.com/)

Последний раз редактировалось Котяра, 10-05-2008 в 17:14. Причина: ИСПРАВИЛ УКАЗАНИЯ

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:06, 10-05-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Drongo

Будем жить, Маэстро...


Moderator


Сообщения: 6695
Благодарности: 1391

Профиль | Сайт | Отправить PM | Цитировать


Котяра,
Цитата Котяра:
А файла d.com случайно нет? »
Его нет.
Цитата Котяра:
диска Windows PE/bartPE, »
Тоже нет.
Цитата Котяра:
И какого содержание u.bat? »
Пожалуйста, здорово смахивает на исполнимый, но на кой лад переименованый в .bat. При попытке копирования его содержимого могу только скопировать этот текст, (больше не копируется)
Код: Выделить весь код
MZ@
Скрин с содержимым вот (подобный текст до конца, там есть ещё полоса прокрутки, но смысл дальше прокручивать?):



Цитата Котяра:
Так вы пытаетесь "лечить" компьютер через локальную сеть? »
Да. А что? Что-то не так? Ведь антивирусник обнаруживает вирусы и удаляет, но они появляются...

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]


Отправлено: 17:18, 10-05-2008 | #3


Аватара для Котяра

Ветеран


Сообщения: 2907
Благодарности: 331

Профиль | Отправить PM | Цитировать


Цитата Drongo:
там есть законодательные и бухгалтерские базы »
Прежде всего, сделать резервную копию ценных данных!

Отправлено: 17:19, 10-05-2008 | #4


Ветеран


Сообщения: 3485
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


Drongo, Даешь, у нас же на форуме есть правила для запроса .
Самостоятельное исследование оно конечно хорошо, но есть наработки и почему бы не воспользоваться.

Посмотреть bat-ник -- переименовать u.bat в u.txt.

-------
Просьба обращаться на "ты".
Посты на абракадарском языке в игноре !!!


Последний раз редактировалось Severny, 10-05-2008 в 17:32.


Отправлено: 17:22, 10-05-2008 | #5


Аватара для Drongo

Будем жить, Маэстро...


Moderator


Сообщения: 6695
Благодарности: 1391

Профиль | Сайт | Отправить PM | Цитировать


Котяра,
Цитата Котяра:
Прежде всего, сделать резервную копию ценных данных! »
Ноут не мой, а друга, это сделается, друг делает резервные копии каждый день.
Severny,
Цитата Severny:
но есть наработки и почему бы не воспользоваться. »
Так я вроде определил вирусы, осталось дело за малым, удалить.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]


Отправлено: 17:31, 10-05-2008 | #6


Ветеран


Сообщения: 3485
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


Drongo, Дело в том, что ты не определил возможный руткит, драйвер или trojan-downloader, который их восстанавливает. Тем более с помощью AVZ можно удалить любой файл. Далее с помощью AVZ возможно будет ограничить возможность заражения подобным вирусом.

-------
Просьба обращаться на "ты".
Посты на абракадарском языке в игноре !!!

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:34, 10-05-2008 | #7


Аватара для Baw17

[OVER]Baw17


Сообщения: 4085
Благодарности: 694

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar anti_autorun.rar
(40.5 Kb, 51 просмотров)

Drongo, самое простое

1. посмотреть и удалить, если есть в Автозагрузке файл Amvo.dll и Amvo.exe и все что связанно с ним в Реестре
2. взять anti_autorun.exe и провести им чистку несколько раз подряд

и вообще данный вирус нарушает показ Скрытых файлов и папок и блокирует нормальный доступ к локальным дискам по левой клавиши мышки

только лечить надо не по сети, а локально на каждой машине
для предотвращения запуска заразы с флешек
в AVZ - Файл-Мастер поиска и устранения проблем - Системные (все проблемы) - Пуск - и пофиксить "Разрешен запуск со сменных носителей"

-------
U/\/@┬┬ﻉ/\/Ð ﻉ Й Team
Мой личный Блокнот
Не оказываю техподдержку через систему личных сообщений, почту и ICQ
http://2ip.ru/bar/ip10.gif
Best Regards [Over]Baw17


Последний раз редактировалось Baw17, 10-05-2008 в 17:46. Причина: дописал и орф

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:37, 10-05-2008 | #8


Аватара для Котяра

Ветеран


Сообщения: 2907
Благодарности: 331

Профиль | Отправить PM | Цитировать


Цитата Drongo:
здорово смахивает на исполнимый »
Ага.
Drongo, посомтрите эту тему (кликните здесь). Второе сообщение.
Проверьте систему утилитой CureIt!, причем не через локальную сеть, а прямо "на месте".

====
Сейчас пришла в голову мысль: отключите на зараженном ПК восстановление системы! Оно и восстанавливает вирусы!
И сделайте скриншот диспетчера задач (CTRL+SHIFT+ESC) и выложите сюда.
Это сообщение посчитали полезным следующие участники:

Отправлено: 17:42, 10-05-2008 | #9


Ветеран


Сообщения: 3485
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


Цитата Baw17:
самое простое »
Удаление этих файлов недостаточно.
Anti-autorun с последними модификациями не справляется.

З.Ы. Неужели сложно сделать логи?

-------
Просьба обращаться на "ты".
Посты на абракадарском языке в игноре !!!


Отправлено: 17:43, 10-05-2008 | #10



Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » [решено] Как удалить два "неудаляемых" вируса, их "назначение", и принцип работы

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Как удалить ярлыки (в меню "Пуск" - "Программы", с рабочего стола, и т. д.) Craager Автоматическая установка Windows 2000/XP/2003 167 08-05-2015 02:50
Конкурс - Принцип работы "Контроля учетных записей пользователей" в Windows 7 OSZone Microsoft Windows 7 0 23-10-2009 23:29
Интерфейс - [решено] Как удалить папку "Моя музыка","Мои Картинки", "Мое видео"? verdix Microsoft Windows 2000/XP 3 03-10-2009 23:46
Запретить/удалить пункт "Programs" ("Программы") из меню кнопки "Start" ("Пуск") submaster Microsoft Windows NT/2000/2003 5 13-09-2006 12:29




 
Переход