Решена Поймал вирус Autorun.inf

Тема в разделе "Лечение компьютерных вирусов", создана пользователем TheAssassin, 7 янв 2012.

Статус темы:
Закрыта.
  1. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Поймал вирус Autorun.inf ,Нод32 его блокировал, но в диспечере появились какие - то непонятные файлы: aadriver32 (может быть скрытый zaberg.exe т.к в диспечере его не видно, а в msconfig в автозагрузке он есть а так же появились какие - то файлы и всегда разные и оканчиваются на tmp прошелся AVZ в безопасном режиме вот логи:

    Скажу еще сейчас стал подлагивать комп(
     

    Вложения:

    Последнее редактирование модератором: 7 янв 2012
  2. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Сейчас посмотрю логи, а Вы пока сделайте логи RSIT.

    Отключите:
    Антивирус/Файерволл

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\aadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(11);
    RebootWindows(true);
    end.
     

    ПК перезагрузится. Выполните скрипт в AVZ:

    Код (Text):

    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


    Сделайте новые логи AVZ & RSIT


    • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
    • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
    • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению
     
    Последнее редактирование: 7 янв 2012
  3. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    что за RSIT я тут недавно и где его скачать?
     
  4. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
  5. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    вот лог от RSIT жду лог от MBAM (пока сканирует)
     

    Вложения:

    • log.txt
      Размер файла:
      57,8 КБ
      Просмотров:
      2
  6. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    TheAssassin, не спешите :) После того, как просканирует MBAM, выполните следующее:

    Отключите:
    Антивирус/Файерволл

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\aadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\autorun.inf','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\WINDOWS\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\autorun.inf');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(11);
    RebootWindows(true);
    end.
     

    ПК перезагрузится. Выполните скрипт в AVZ:

    Код (Text):

    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


    Сделайте новые логи AVZ & RSIT
    Прикрепите лог MBAM.
     
  7. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Все наконец-то просканировал вот логи:

    P.S Мне удалять то что он нашел????
     

    Вложения:

  8. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    TheAssassin, пожалуйста, следуйте моим рекомендациям.
     
  9. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    удалять то что нашел MBAM не надо через него?

    И в безопасном мне все делать? скрипты и т.д?
     
    Последнее редактирование: 7 янв 2012
  10. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    удалите потом, и только то, что скажу я. нужно чтобы AVZ ещё подчистил реестр.

    >И в безопасном мне все делать?
    да
     
  11. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    ок я тогда в безопасный счас токо скрипты сохраню и что мне делать и скоро выложу логи
     
  12. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Вот все сделал ожидается токо MBAM вот логи которые есть и карантин:

    И уже я ток недавно запустит MBAM и уже 10 нашел чего то там(

    И в диспечере уже вместо тех файлов наблюдаю TASKMAN.EXE
     

    Вложения:

    • log.txt
      Размер файла:
      56,9 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      34 КБ
      Просмотров:
      1
    Последнее редактирование модератором: 7 янв 2012
  13. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Обязательно!
    Установите Service Pack 3 (если не установлен) + все последующие обновления
    Установите Internet Explorer 8
    Обновите Adobe Flash Player
    Обновите Java SE


    Загрузитесь в безопасный режим.

    Отключите:
    Антивирус/Файерволл

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\WINDOWS\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\autorun.inf');
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(11);
    RebootWindows(true);
    end.
     

    ПК перезагрузится. Выполните скрипт в AVZ:

    Код (Text):

    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

    Удалите в MBAM только данные элементы
    Код (Text):

    Обнаруженные процессы в памяти:  1
    C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> 1904 -> Действие не было предпринято.

    Обнаруженные ключи в реестре:  8
    HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
    HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
    HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
    HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
    HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.

    Обнаруженные параметры в реестре:  4
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято.

    Объекты реестра обнаружены:  5
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun.B) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Хорошо: () -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.

    Обнаруженные папки:  1
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Действие не было предпринято.

    Обнаруженные файлы:  16
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> Действие не было предпринято.
    C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\cache\turbo\sesn\opr00B2J.tmp (Trojan.Agent) -> Действие не было предпринято.
    D:\AVZ\avz4\Quarantine\2012-01-04\avz00001.dta (Backdoor.IRCBot) -> Действие не было предпринято.
    D:\AVZ\avz4\Quarantine\2012-01-06\avz00001.dta (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> Действие не было предпринято.
     

    Сделайте новые логи AVZ & RSIT
     
    1 человеку нравится это.
  14. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    когда я выполняю скрипт в безопасне он перезагружает комп на обычный режим а тут вот и AVZ и MBAM надо в безопасном режиме что делать?
     
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.062
    Симпатии:
    4.488
    После выполнения скрипта и перезагрузки продолжайте делать в обычном.
     
    Последнее редактирование: 7 янв 2012
  16. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Сканирование MBAM закончил лог кидать? (лог до выполнения скрипта!)
     
  17. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.062
    Симпатии:
    4.488
    Удалите в МВАМ все, что вам написал S.R,
     
  18. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    я второй скрипт еще не делал вот и спрашиваю удалять счас или после скрипта?
     
  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.062
    Симпатии:
    4.488
    Удалите в МВАМ все, что вам написал S.R, затем выполните скрипт в АВЗ, а затем
     
  20. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    скрипт выполнил вот логи и карантин AVZ осталось токо MBAM удалить те файлы которые вы мне указали

    [info]Карантины не присоединяйте к сообщению ! Карантин высылайте по указанной форме ![/info]
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      36,6 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      59,1 КБ
      Просмотров:
      1
    Последнее редактирование модератором: 7 янв 2012
Статус темы:
Закрыта.

Поделиться этой страницей