Решена AutoRun-G (Wrm) вирус-червь help me

Статус
В этой теме нельзя размещать новые ответы.
С

стас

Новый пользователь
Сообщения
7
Реакции
0
Дорого времени суток.

Ни с того ни с сего начал ругатся аваст на данный вирус. причем находит его только на флешках и картах памяти. через винду не удаляет. запустил перед загрузкой винды. аваст нашел на флешках и картах памяти вирусы, и удалил, но при загрузке винды всё равно ругается. а на самом компе больше ничего не находит и не удаляет.

помогите плиз.
 
В карантине:
I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe - Backdoor.Win32.SdBot.lbb
L:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe - Backdoor.Win32.SdBot.lbb

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код: 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ClearHostsFile;
 QuarantineFile('SocksA.exe','');
 QuarantineFile('FileKan.exe','');
 QuarantineFile('D:\ПРОГИ\BIRTHDAY\Birthday.exe','');
 QuarantineFile('C:\WINDOWS\twain_32\A4S2_600\watch.exe','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\A4S2600.sys','');
 QuarantineFile('c:\windows\service.exe','');
 DeleteFile('c:\windows\service.exe');
 DeleteFile('C:\WINDOWS\Service.exe');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('FileKan.exe');
 DeleteFile('SocksA.exe');
 DeleteFile('I:\autorun.inf');
 DeleteFile('I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe');
 DeleteFile('L:\autorun.inf');
 DeleteFile('L:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe');
 BC_ImportALL;
 ExecuteRepair(6);
 ExecuteRepair(8);
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код: 
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки
Код: 
 	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Проверить на www.virustotal.com (результаты анализа сообщить)
C:\WINDOWS\twain_32\A4S2_600\watch.exe
D:\ПРОГИ\BIRTHDAY\Birthday.exe

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Обновите базы AVZ и повторите логи.
 
Спасибо огромное!!! Должен буду :)
вроде всё нормально стало.

повторяю логи.

файл карантина отправил на указанный адрес

Еще очень благодарен!!!
тоже хочу научится. где можно? :)

немного не понял что значит
Пофиксить в HijackThis следующие строчки
Код: 
 	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,


Проверить на www.virustotal.com (результаты анализа сообщить)
C:\WINDOWS\twain_32\A4S2_600\watch.exe
D:\ПРОГИ\BIRTHDAY\Birthday.exe
это нормальные проги. вроде как первая от сканера, а вторая это напоминалка дней рождения.


Это пока не зделал уезжаю уже. завтра с утречка еще раз проверю и отпишусь.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.


Обновите базы AVZ и повторите логи.[/QUOTE]

повторяю логи без Malwarebytes' Anti-Malware
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код: 
begin
 DeleteFile('FileKan.exe');
 DeleteFile('Service.exe');
 DeleteFile('SocksA.exe');
 ExecuteSysClean;
 ExecuteRepair(13);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Повторите лог virusinfo_syscheck.
 
тоже хочу научится. где можно?
Нажмите для раскрытия...

У нас проводится обучение. Необходимо подать заявку (ЛС мне или Antispy) и Вам предоставят доступ к обучению.
 
c:\windows\service.exe - Backdoor.Win32.SdBot.lbb
 
Последнее редактирование модератором:
Aleksandra всё выполнил все логи выкладываю

akok проверил с помощью Malwarebytes' Anti-Malware
выкладываю все логи.
 
Вирлаб ответил.
C:\WINDOWS\system32\twext.exe - Trojan.Win32.Agent2.gdm

Поищите при помощи AVZ файл:
nsnsyhu.sys
И проверьте на www.virustotal.com (результат сообщите).
 
C:\WINDOWS\system32\twext.exe - Trojan.Win32.Agent2.gdm такого файла у меня уже нет. удален.
при помощи AVZ искал указанный файл ничего не нашел.
 
Так, правильно что нет. Скриптом удалили, а о том что было найдено akok для информации, что было выловлено выложил.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

deitan
  • Закрыта
Решена Usb:Sound Volume,autorun.if, memtest.exe, ntuser.dat
Ответы
3
Просмотры
230
akok
akok
A
  • Закрыта
Решена trojan.multi.gen autorun lnk file.a
Ответы
8
Просмотры
2K
aversfx
A
Severnyj
Autorun Angel – обнаружение подозрительных файлов в меню автозагрузки
Ответы
0
Просмотры
2K
Severnyj
Severnyj
Назад
Сверху Снизу