Решена AutoRun-G (Wrm) вирус-червь help me

Тема в разделе "Лечение компьютерных вирусов", создана пользователем стас, 21 мар 2009.

Статус темы:
Закрыта.
  1. стас
    Оффлайн

    стас Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Дорого времени суток.

    Ни с того ни с сего начал ругатся аваст на данный вирус. причем находит его только на флешках и картах памяти. через винду не удаляет. запустил перед загрузкой винды. аваст нашел на флешках и картах памяти вирусы, и удалил, но при загрузке винды всё равно ругается. а на самом компе больше ничего не находит и не удаляет.

    помогите плиз.
     
  2. стас
    Оффлайн

    стас Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    не могу найти как логи вставить :)
     
  3. стас
    Оффлайн

    стас Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Простите сразу не прочитал справку. вот вложил.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    В карантине:
    I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe - Backdoor.Win32.SdBot.lbb
    L:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe - Backdoor.Win32.SdBot.lbb

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearHostsFile;
     QuarantineFile('SocksA.exe','');
     QuarantineFile('FileKan.exe','');
     QuarantineFile('D:\ПРОГИ\BIRTHDAY\Birthday.exe','');
     QuarantineFile('C:\WINDOWS\twain_32\A4S2_600\watch.exe','');
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\A4S2600.sys','');
     QuarantineFile('c:\windows\service.exe','');
     DeleteFile('c:\windows\service.exe');
     DeleteFile('C:\WINDOWS\Service.exe');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('FileKan.exe');
     DeleteFile('SocksA.exe');
     DeleteFile('I:\autorun.inf');
     DeleteFile('I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe');
     DeleteFile('L:\autorun.inf');
     DeleteFile('L:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe');
     BC_ImportALL;
     ExecuteRepair(6);
     ExecuteRepair(8);
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Пофиксить в HijackThis следующие строчки
    Код (Text):
        F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
    Проверить на www.virustotal.com (результаты анализа сообщить)
    C:\WINDOWS\twain_32\A4S2_600\watch.exe
    D:\ПРОГИ\BIRTHDAY\Birthday.exe

    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Обновите базы AVZ и повторите логи.
     
  5. стас
    Оффлайн

    стас Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Спасибо огромное!!! Должен буду :)
    вроде всё нормально стало.

    повторяю логи.

    файл карантина отправил на указанный адрес

    Еще очень благодарен!!!
    тоже хочу научится. где можно? :)

    немного не понял что значит
    Пофиксить в HijackThis следующие строчки
    Код (Text):
        F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

    Проверить на www.virustotal.com (результаты анализа сообщить)
    C:\WINDOWS\twain_32\A4S2_600\watch.exe
    D:\ПРОГИ\BIRTHDAY\Birthday.exe
    это нормальные проги. вроде как первая от сканера, а вторая это напоминалка дней рождения.


    Это пока не зделал уезжаю уже. завтра с утречка еще раз проверю и отпишусь.

    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.


    Обновите базы AVZ и повторите логи.[/QUOTE]

    повторяю логи без Malwarebytes' Anti-Malware
     
  6. стас
    Оффлайн

    стас Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    собственно логи :)
     
  7. Aleksandra
    Оффлайн

    Aleksandra Активный пользователь

    Сообщения:
    29
    Симпатии:
    17
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код (Text):
    begin
     DeleteFile('FileKan.exe');
     DeleteFile('Service.exe');
     DeleteFile('SocksA.exe');
     ExecuteSysClean;
     ExecuteRepair(13);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    Повторите лог virusinfo_syscheck.
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    У нас проводится обучение. Необходимо подать заявку (ЛС мне или Antispy) и Вам предоставят доступ к обучению.
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    c:\windows\service.exe - Backdoor.Win32.SdBot.lbb
     
    Последнее редактирование модератором: 22 мар 2009
  10. стас
    Оффлайн

    стас Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Aleksandra всё выполнил все логи выкладываю

    akok проверил с помощью Malwarebytes' Anti-Malware
    выкладываю все логи.
     
  11. Aleksandra
    Оффлайн

    Aleksandra Активный пользователь

    Сообщения:
    29
    Симпатии:
    17
    Ничего зловредного в логах нет.
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Вирлаб ответил.
    C:\WINDOWS\system32\twext.exe - Trojan.Win32.Agent2.gdm

    Поищите при помощи AVZ файл:
    nsnsyhu.sys
    И проверьте на www.virustotal.com (результат сообщите).
     
  13. стас
    Оффлайн

    стас Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    C:\WINDOWS\system32\twext.exe - Trojan.Win32.Agent2.gdm такого файла у меня уже нет. удален.
    при помощи AVZ искал указанный файл ничего не нашел.
     
  14. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    Так, правильно что нет. Скриптом удалили, а о том что было найдено akok для информации, что было выловлено выложил.
     
Статус темы:
Закрыта.

Поделиться этой страницей