|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Вирус ставит аттрибуты у папок на флешке на системный, скрытый, только чтение |
|
|
Вирус ставит аттрибуты у папок на флешке на системный, скрытый, только чтение
|
Пользователь Сообщения: 102 |
Вставляешь флешку, через какое-то время нод32 (лицензионный, обновляется постоянно) кричит что httр://91.200.241.40/bq.exe заражен бла бла бла, на флешке папки становятся скрытыми, создаются ссылки для каждой папки в которых прописан запуск файла из папки RECYCLED, причем на компьютере, с которого якобы принесли этот вирус я всё почистил без особых проблем, а тут сложнее всё.
p.s. Извиняюсь, что логи выложил не по новым правилам, давно тут не писал, если совсем никак с этими логами, выложу по-новому. Большой проект делаем и отвлекать часто пользователей "ай яй яй" и так на час сегодня забирал комп. =========Hijackthis log========== Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 9:31:21, on 19.05.2011 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\USB Disk Security\USBGuard.exe C:\WINDOWS\aadrive32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe F:\SOFT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/f...D=0419&Ext=bak R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O1 - Hosts: 91.200.241.40 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Program Files\DIALux\DLXShellExtension.dll O4 - HKLM\..\Run: [USB Antivirus] C:\Program Files\USB Disk Security\USBGuard.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {1F831FAF-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD 2002 RUS_\InstFred.ocx O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Элемент управления AcDcToday) - file://C:\Program Files\AutoCAD 2002 RUS_\AcDcToday.ocx O16 - DPF: {AE56372F-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002 RUS_\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Элемент управления AcPreview) - file://C:\Program Files\AutoCAD 2002 RUS_\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{F93A1707-5D69-46F0-808B-C3B2BE2A23B4}: NameServer = 80.91.16.19,80.91.17.66 O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 6499 bytes |
|
|
Отправлено: 10:01, 19-05-2011 |
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать еще virusinfo_syscure.zip прикрепите
|
|
------- Отправлено: 10:05, 19-05-2011 | #2 |
|
Модератор
Сообщения: 16831
|
Профиль | Сайт | Отправить PM | Цитировать Вставьте флэшку, обновите базы AVZ и повторите логи.
|
|
------- Отправлено: 10:39, 19-05-2011 | #3 |
|
Пользователь Сообщения: 102
|
Профиль | Отправить PM | Цитировать Сделал по правилам. Прикрепил все логи к первому сообщению.
p.s. задолбали пользователи, каждый подписывал бумагу по ответственности за кряки и всё равно кучу кряков увидел пока ждал сканирование. Стоит файл сервер с антивирусом, настроенный, быстрый с гигабитным каналом, нет млять мы скопируем все себе в системный раздел, а я потом жду по пол часа пока это всё просканируется... арррр Такое ощущение, что на компе вирусов больше, чем рабочих файлов. |
|
Отправлено: 11:22, 19-05-2011 | #4 |
Старожил Сообщения: 261
|
Профиль | Отправить PM | Цитировать Здравствуйте,
Transit Telecom Ltd. – ваш провайдер? 1. Скачайте ATF Cleaner на рабочий стол. Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected; - нажмите No, если вы хотите оставить ваши сохраненные пароли; - если вы используете Opera, нажмите Opera - Select All - Empty Selected; - нажмите No, если вы хотите оставить ваши сохраненные пароли. 2. Отключите: Антивирус/Файерволл AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\Documents and Settings\Afanasieva\Application Data\Jytqtz.exe','');
DeleteFile('C:\Documents and Settings\Afanasieva\Application Data\Jytqtz.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jytqtz');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. 3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Пофиксить в HJT Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O1 - Hosts: 91.200.241.40 localhost O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe |
|
|
Отправлено: 12:08, 19-05-2011 | #5 |
|
Пользователь Сообщения: 102
|
Профиль | Отправить PM | Цитировать Это и даже чуть больше делал вручную, попробую через скрипт. Отпишусь...
Hosts: 91.200.241.40 localhost это я сам прописывал, чтоб не лез add: как же долго он сканирует...  |
|
Последний раз редактировалось CaminoDeFlores, 19-05-2011 в 13:09. Отправлено: 12:18, 19-05-2011 | #6 |
|
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать Цитата CaminoDeFlores:
|
|
|
------- Отправлено: 12:39, 19-05-2011 | #7 |
|
Пользователь Сообщения: 102
|
Профиль | Отправить PM | Цитировать Не пустят меня сегодня уже за тот комп, успел только лог от Malwarebytes' Anti-Malware сделать, остальное завтра
add: да, транстелеком наш провайдер |
|
Последний раз редактировалось CaminoDeFlores, 19-05-2011 в 14:11. Отправлено: 13:50, 19-05-2011 | #8 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Установите Service Pack 3 (потребуется активация).
Обновите Internet Explorer до восьмой версии. Обновите Adobe Reader до последней версии. Удалите в MBAM: Код:
Заражённые файлы: c:\documents and settings\afanasieva\application data\1C.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\213.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\218.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\22.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\3.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\30.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\35.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\3C.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\4.tmp (Malware.Gen) -> No action taken. c:\documents and settings\afanasieva\application data\7.tmp (Malware.Gen) -> No action taken. |
|
------- Отправлено: 16:51, 19-05-2011 | #9 |
|
Старожил Сообщения: 261
|
Профиль | Отправить PM | Цитировать @CaminoDeFlores,
Кроме всех вышеперечисленных манипуляций сделайте еще вот этот скрипт: Код:
begin ExecuteRepair(1); RebootWindows(true); end. |
|
Отправлено: 17:48, 19-05-2011 | #10 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Свойства, аттрибуты файлов и папок | leonaft | AutoIt | 12 | 19-01-2016 09:43 | |
| [решено] Чтение имён папок в array | AzazeLHAck | AutoIt | 1 | 30-11-2010 16:24 | |
| На флешке вирус autorun.inf | Shmaks | Лечение систем от вредоносных программ | 1 | 22-06-2009 18:58 | |
| Доступ - [решено] Как найти скрытый файл, если знаешь только размер. | toitoi | Microsoft Windows 2000/XP | 8 | 15-12-2008 18:13 | |
| fdd в режиме только чтение | sergei_p | Microsoft Windows 95/98/Me (архив) | 3 | 09-12-2004 20:11 | |
|
|
Время: 23:19. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
