Решена вирус через чужую флешку
- Автор темы Elka33
- Дата начала
- Статус
Ботан
Злостный спам-бот
- Сообщения
- 927
- Реакции
- 81
Приветствую Elka33, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
- virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
***
Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.
***
Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
С уважением, администрация SafeZone.
с таким файлом не сталкивалась в работе. Может для чего и нужен.. А подробнее: вирус видимо словила через чужую флешку. И теперь при попытке открыть какой-либо носитель, выскакивает табличка: "В устройстве нет диска. Вставьте диск в устройство \Device\Harddisk2\DR2." Нажимаю на отмену, все равно появляется. И файлы на флешке отображаются, как ярлыки. Антивирус пытается переместить в карантин что-то видимо ужасное... (см.вложение)
Вложения
- Сообщения
- 14,330
- Реакции
- 3,132
Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Повторите логи AVZ (стандартный скрипт 2) и RSIT.
Обновите базы Malwarebytes' Anti-Malware, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Эльвира\AppData\Roaming\Microsoft\Qomimy.exe','');
QuarantineFile('C:\configuration\configuration.exe','');
DeleteFile('C:\Users\Эльвира\AppData\Roaming\Microsoft\Qomimy.exe');
DeleteFile('C:\configuration\configuration.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qomimy');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Повторите логи AVZ (стандартный скрипт 2) и RSIT.
Обновите базы Malwarebytes' Anti-Malware, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
- Сообщения
- 14,749
- Реакции
- 6,741
+ к написанному выше
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.73 script [http://dsrt.dyndns.org] adddir %SystemDrive%\USERS\Эльвира\APPDATA\ROAMING crimg - В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
- После этого в папке с программой будет создан образ автозапуска название, которого имеет формат"имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
- !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
- Подробнее читайте в руководстве Как подготовить лог UVS
Последнее редактирование:
- Сообщения
- 14,330
- Реакции
- 3,132
Повторите сканирование в MBAM и удалите только:
Лог после удаления покажите.
Далее:
Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Эльвира\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Эльвира\AppData\Roaming\Gomimo.exe','');
QuarantineFile('C:\Users\Эльвира\AppData\Roaming\temp.bin','');
DeleteFile('C:\Users\Эльвира\AppData\Roaming\temp.bin');
DeleteFile('C:\Users\Эльвира\AppData\Roaming\ScreenSaverPro.scr');
DeleteFile('C:\Users\Эльвира\AppData\Roaming\Gomimo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Повторите логи AVZ (стандартный скрипт 2) и RSIT.
Также ждем лог uVS.
- Сообщения
- 24,156
- Реакции
- 13,531
Выполните скрипт UVS и пришлите карантин
После выполнения скрипта компьютер перезагрузится.
Добавлено через 7 минут 13 секунд
Подготовьте лог лог SecurityCheck by glax24
Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\USERS\ЭЛЬВИРА\APPDATA\ROAMING\TEMP.BIN
zoo %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\TEMP.BIN
; zoo %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\TEMP.BIN
bl E40DB6AC259D0BF00EA4E9BCF4B9CCDA 115712
addsgn A7679B1991A24F7F2FB6EFB14DC50668648A75A375F92A884582C59565F2130D2334DEDF40149D4836AC40DE46155436F99EE85B4802416D2D5CA9F73647225A 16 Backdoor.Win32.Androm.wna
delall %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delref D:\SETUP.EXE
delref D:\PAD.EXE
delref G:\MP_ROOT\102MNV01\102MNV01.EXE
delref F:\AUTORUN.EXE
delref G:\AUTORUN.EXE
delref G:\LAUNCHU3.EXE
delref F:\LAUNCHU3.EXE
delref F:\KODAK_SOFTWARE_DOWNLOADER.EXE
chklst
delvir
deltmp
restartДобавлено через 7 минут 13 секунд
Подготовьте лог лог SecurityCheck by glax24
- Сообщения
- 14,749
- Реакции
- 6,741
Установите
Service Pack не установлен Внимание! Скачать обновления
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Дата установки обновлений: 2011-03-18 05:48:56
Adobe Flash Player 10 ActiveX v.10.2.152.32 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.45.2 Внимание! Скачать обновления
Adobe Reader 9 v.9.0.0 Внимание! Скачать обновления
+ сделайте новый лог uVS
Service Pack не установлен Внимание! Скачать обновления
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Дата установки обновлений: 2011-03-18 05:48:56
Adobe Flash Player 10 ActiveX v.10.2.152.32 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.45.2 Внимание! Скачать обновления
Adobe Reader 9 v.9.0.0 Внимание! Скачать обновления
+ сделайте новый лог uVS
- Сообщения
- 14,749
- Реакции
- 6,741
Выполните скрипт в uVS
сделайте новый образ автозапуска.
Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delall %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\MICROSOFT\QOMIMY.EXE
restartсделайте новый образ автозапуска.
- Сообщения
- 24,156
- Реакции
- 13,531
1. Я отключаю автозапуск, у вас заражена флешка.
2. Очищаю все точки восстановления системы
Выполните скрипт UVS
После выполнения скрипта компьютер перезагрузится.
Добавлено через 17 секунд
Что с проблемой?
2. Очищаю все точки восстановления системы
Выполните скрипт UVS
Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
delall H:\RECYCLED.EXE
CEXEC REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
regt 23
regt 19
restartДобавлено через 17 секунд
Что с проблемой?
- Статус