• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена AutoRun-G (Wrm) вирус-червь help me

Статус
В этой теме нельзя размещать новые ответы.

стас

Активный пользователь
Сообщения
7
Симпатии
0
#1
Дорого времени суток.

Ни с того ни с сего начал ругатся аваст на данный вирус. причем находит его только на флешках и картах памяти. через винду не удаляет. запустил перед загрузкой винды. аваст нашел на флешках и картах памяти вирусы, и удалил, но при загрузке винды всё равно ругается. а на самом компе больше ничего не находит и не удаляет.

помогите плиз.
 

akok

Команда форума
Администратор
Сообщения
14,785
Симпатии
12,155
#4
В карантине:
I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe - Backdoor.Win32.SdBot.lbb
L:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe - Backdoor.Win32.SdBot.lbb

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ClearHostsFile;
 QuarantineFile('SocksA.exe','');
 QuarantineFile('FileKan.exe','');
 QuarantineFile('D:\ПРОГИ\BIRTHDAY\Birthday.exe','');
 QuarantineFile('C:\WINDOWS\twain_32\A4S2_600\watch.exe','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\A4S2600.sys','');
 QuarantineFile('c:\windows\service.exe','');
 DeleteFile('c:\windows\service.exe');
 DeleteFile('C:\WINDOWS\Service.exe');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('FileKan.exe');
 DeleteFile('SocksA.exe');
 DeleteFile('I:\autorun.inf');
 DeleteFile('I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe');
 DeleteFile('L:\autorun.inf');
 DeleteFile('L:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\INSTALL.exe');
 BC_ImportALL;
 ExecuteRepair(6);
 ExecuteRepair(8);
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки
Код:
 	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
Проверить на www.virustotal.com (результаты анализа сообщить)
C:\WINDOWS\twain_32\A4S2_600\watch.exe
D:\ПРОГИ\BIRTHDAY\Birthday.exe

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Обновите базы AVZ и повторите логи.
 

стас

Активный пользователь
Сообщения
7
Симпатии
0
#5
Спасибо огромное!!! Должен буду :)
вроде всё нормально стало.

повторяю логи.

файл карантина отправил на указанный адрес

Еще очень благодарен!!!
тоже хочу научится. где можно? :)

немного не понял что значит
Пофиксить в HijackThis следующие строчки
Код:
 	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Проверить на www.virustotal.com (результаты анализа сообщить)
C:\WINDOWS\twain_32\A4S2_600\watch.exe
D:\ПРОГИ\BIRTHDAY\Birthday.exe
это нормальные проги. вроде как первая от сканера, а вторая это напоминалка дней рождения.


Это пока не зделал уезжаю уже. завтра с утречка еще раз проверю и отпишусь.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.


Обновите базы AVZ и повторите логи.[/QUOTE]

повторяю логи без Malwarebytes' Anti-Malware
 

Aleksandra

Активный пользователь
Сообщения
32
Симпатии
22
#7
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 DeleteFile('FileKan.exe');
 DeleteFile('Service.exe');
 DeleteFile('SocksA.exe');
 ExecuteSysClean;
 ExecuteRepair(13);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Повторите лог virusinfo_syscheck.
 

akok

Команда форума
Администратор
Сообщения
14,785
Симпатии
12,155
#8
тоже хочу научится. где можно?
У нас проводится обучение. Необходимо подать заявку (ЛС мне или Antispy) и Вам предоставят доступ к обучению.
 

akok

Команда форума
Администратор
Сообщения
14,785
Симпатии
12,155
#9
c:\windows\service.exe - Backdoor.Win32.SdBot.lbb
 
Последнее редактирование модератором:

стас

Активный пользователь
Сообщения
7
Симпатии
0
#10
Aleksandra всё выполнил все логи выкладываю

akok проверил с помощью Malwarebytes' Anti-Malware
выкладываю все логи.
 

akok

Команда форума
Администратор
Сообщения
14,785
Симпатии
12,155
#12
Вирлаб ответил.
C:\WINDOWS\system32\twext.exe - Trojan.Win32.Agent2.gdm

Поищите при помощи AVZ файл:
nsnsyhu.sys
И проверьте на www.virustotal.com (результат сообщите).
 

стас

Активный пользователь
Сообщения
7
Симпатии
0
#13
C:\WINDOWS\system32\twext.exe - Trojan.Win32.Agent2.gdm такого файла у меня уже нет. удален.
при помощи AVZ искал указанный файл ничего не нашел.
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
#14
Так, правильно что нет. Скриптом удалили, а о том что было найдено akok для информации, что было выловлено выложил.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу