• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена autorun, ispodkrila и др.

Статус
В этой теме нельзя размещать новые ответы.

Нафанька

Активный пользователь
Сообщения
7
Симпатии
0
#1
Здравствуйте. Посмотрите пожалуйста логи. Компьютер с работы. На флешке прячет или удаляет папки.

Прошу помощи.
 

Вложения

gjf

Ассоциация VN
Разработчик
Сообщения
646
Симпатии
643
#2
- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;                           
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
 if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
  KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
  if RegKeyExistsEx('HKLM', KeyName) then begin
   Result := Result or 4;                  
   RegKeyResetSecurityEx('HKLM', KeyName);
   RegKeyDel('HKLM', KeyName);
   if RegKeyExistsEx('HKLM', KeyName) then               
    Result := Result or 8;                  
  end;
 end;                 
if AIsSvcHosted then
 BC_DeleteSvcReg(AServiceName)
else
 BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'test1'+' - Результат:'+inttostr(BC_ServiceKill('iy2tzoaad7')) );
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\WINDOWS\system32\XP-985DF994.EXE','');
QuarantineFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\atusb.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\windrvr6.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\inkjet.SYS','');
QuarantineFile('D:\WINDOWS\system32\wewuwug.exe','');
QuarantineFile('d:\:services.exe','');
DeleteFile('d:\:services.exe');
DeleteFile('D:\WINDOWS\system32\wewuwug.exe');
DeleteFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
DeleteFile('G:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); {удаление нестандартного диспетчера задач}
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(16); {восстановление ключа запуска explorer}
SaveLog(GetAVZDirectory+'avz_log.txt');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится. После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно только пункта 2 (Диагностика)
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Выполните скрипт:
Код:
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
По окончанию Вам откроет папку с архивом. Это - карантин.
- Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь.
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
 

Нафанька

Активный пользователь
Сообщения
7
Симпатии
0
#3
всё выполнила... карантин не смогла отправить (ссылка не та):blush:

логи ниже. autorun, ispodkrila появляются и сейчас на флешке, но папки уже не пропадают.:victory:
 

Вложения

gjf

Ассоциация VN
Разработчик
Сообщения
646
Симпатии
643
#4
- Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
 TerminateProcessByName('G:\ispodkrila\beloggrada.exe');
 DeleteFile('beloggrada.exe');
 DeleteFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
 DeleteFile('G:\ispodkrila\beloggrada.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('c:\ispodkrila\beloggrada.exe');
 DeleteFile('c:\autorun.inf');
 DeleteFile('d:\ispodkrila\beloggrada.exe');
 DeleteFile('d:\autorun.inf');
 DeleteFile('e:\ispodkrila\beloggrada.exe');
 DeleteFile('e:\autorun.inf');
 DeleteFile('f:\ispodkrila\beloggrada.exe');
 DeleteFile('f:\autorun.inf');
 DeleteFileMask('G:\ispodkrila\','*.*',true);
 DeleteDirectory('G:\ispodkrila\');
 DeleteFileMask('c:\ispodkrila\','*.*',true);
 DeleteDirectory('c:\ispodkrila\');
 DeleteFileMask('d:\ispodkrila\','*.*',true);
 DeleteDirectory('d:\ispodkrila\');
 DeleteFileMask('e:\ispodkrila\','*.*',true);
 DeleteDirectory('e:\ispodkrila\');
 DeleteFileMask('f:\ispodkrila\','*.*',true);
 DeleteDirectory('f:\ispodkrila\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); {удаление нестандартного диспетчера задач}
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 BC_ImportAll;
ExecuteSysClean;
 SetAVZPMStatus(false);
 BC_Activate;
 RebootWindows(true);
end.
Система перезагрузится. После перезагрузки:
- Сделайте повторные логи согласно только пункта Диагностика
virusinfo_syscheck.zip

Ссылка у меня отлично открывается: http://support.kaspersky.ru/virlab/helpdesk.html
 

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#6
В карантине:
yeawl.exe - Trojan.Win32.Pincav.alwk

Добавлено через 9 минут 26 секунд
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('D:\WINDOWS\system32\XP-985DF994.EXE','');
 DeleteFile('D:\WINDOWS\system32\XP-985DF994.EXE');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Повторите логи.
 

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#8
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#10
Что с проблемами?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу