Решена Этот тоже заражает флешки, не так сильно, но...

Статус
В этой теме нельзя размещать новые ответы.

probatf

Постоянный участник
Сообщения
102
Реакции
3
Еще один брат-близнец. Флешку вставил - поймал.
 

Вложения

  • CollectionLog-2014.12.10-11.07.zip
    59.8 KB · Просмотры: 3
В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf', '');
QuarantineFile(', C:\Users\админ\xcqzq.exe', '');
DeleteFile(', C:\Users\админ\xcqzq.exe', '32');
DeleteFile('E:\autorun.inf', '32');
DelBHO('{8dec4b69-27c4-405d-a37d-8d45c83f66ab}');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(3);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте его с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:
Карантин отправил
 

Вложения

  • CollectionLog-2014.12.10-13.02.zip
    37.1 KB · Просмотры: 3
да.
И извините, за любопытство, не хочу обидеть, просто всё думаю
Тяжелый случай
,
Этот тоже заражает флешки, не так сильно, но...
силу заражения флешки как определяете?
+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile(', C:\Users\админ\xcqzq.exe', '');
QuarantineFile('C:\Users\админ\Links\Documents.lnk', '');
DeleteFile(', C:\Users\админ\xcqzq.exe', '32');
DeleteFile('C:\Windows\Tasks\1-Click Maintenance.job', '32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
Последнее редактирование:
силу заражения флешки как определяете?
исключительно визуально. после зараженного флешка попадает под касперского. вчера образовывалось порядка 40 вредоносных объектов.
сегодня 2-3.
Крантин отправил. Опять получил сообщение об этом и что результат узнаю в теме от консультанта. Только этот файл имеет размер 1КБ. Могу повторно выслать предыдущий, там хотя бы 22 КБ.
Прошу прощения, наверное и 1 карантин был пустой. Не 22 КБ, а 22 Б. Второй 830 Б. И заражение продолжается.
 

Вложения

  • CollectionLog-2014.12.10-15.50.zip
    37.2 KB · Просмотры: 2
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой мыши на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

1. Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\админ\xcqzq.exe','');
QuarantineFile('C:\Windows\system32\tmp898A.tmp','');
DeleteFile('C:\Windows\system32\tmp898A.tmp');
DeleteFile('C:\Users\админ\xcqzq.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Карантин отправил.
 

Вложения

  • CollectionLog-2014.12.10-17.05.zip
    37.1 KB · Просмотры: 1
Карантин отправил.
Не пришел. Может пустой был, размер у него какой?

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('E:\tenbentee\durahe.exe','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('E:\autorun.inf','32');
DeleteFile('E:\tenbentee\durahe.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.


Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Для профилактики отключим автозапуск с флешек

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве
 
Сделал
 

Вложения

  • mbam.txt
    1.3 KB · Просмотры: 2
Отправил еще раз, по почте.
В карантине червь, который распространяется путем копирования самого себя на съемные диски, поэтому
Для профилактики отключим автозапуск с флешек
Верное решение :)
Чисто. Что с проблемой?
 
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после лечения
 
  • Like
Реакции: akok
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 11.12.2014 13:02:47
Run directory: C:\Users\админ\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionLocal: 8.4
__________________________________________________

Windows Vista (6.0.6000) (x86) Business Lang: Russian(0419)
Дата установки ОС: 01.04.2009 05:35:49
Статус лицензии: Windows(TM) Vista, Business edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [116.7 Гб] Занято: [58.6 Гб] Свободно: [58.1 Гб]
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
-------------Windows------------------------------
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 7.0.6000.17037 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-09-24 06:59:53
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------AntiVirusFirewallInstall-------------
Avast Free Antivirus v.10.0.2208
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 2.0.4.1028 v.2.0.4.1028
-------------AppleProduction----------------------
Bonjour v.1.0.104 Внимание! Скачать обновления
Bonjour Service (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Reader 9.1.2 - Russian v.9.1.2 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox (3.5.2) v.3.5.2 (ru) Внимание! Скачать обновления
-------------EndLog-------------------------------
Лог сделал перед удалением мбам
 
Есть над чем поработать)
Удачи и с наступающим Новым годом!
 
probatf, на этой системе автозапуск с флешек у вас и так был отключён с самого начала, но вы можете использовать скрипт отключения автозапуска на других компах для профилактики заражения.


MBAM деинсталируйте.


+ - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу