• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Поймал вирус Autorun.inf

Статус
В этой теме нельзя размещать новые ответы.

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#1
Поймал вирус Autorun.inf ,Нод32 его блокировал, но в диспечере появились какие - то непонятные файлы: aadriver32 (может быть скрытый zaberg.exe т.к в диспечере его не видно, а в msconfig в автозагрузке он есть а так же появились какие - то файлы и всегда разные и оканчиваются на tmp прошелся AVZ в безопасном режиме вот логи:

Скажу еще сейчас стал подлагивать комп(
 

Вложения

Последнее редактирование модератором:

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#2
Сейчас посмотрю логи, а Вы пока сделайте логи RSIT.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\aadrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 DeleteFile('C:\WINDOWS\aadrive32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT


  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
  • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению
 
Последнее редактирование:

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#5
вот лог от RSIT жду лог от MBAM (пока сканирует)
 

Вложения

  • 57.8 KB Просмотры: 2

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#6
TheAssassin, не спешите :) После того, как просканирует MBAM, выполните следующее:

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\aadrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\autorun.inf','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 DeleteFile('C:\WINDOWS\aadrive32.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\WINDOWS\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\autorun.inf');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT
Прикрепите лог MBAM.
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#7
Все наконец-то просканировал вот логи:

P.S Мне удалять то что он нашел????
 

Вложения

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#9
Последнее редактирование:

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#10
удалять то что нашел MBAM не надо через него?
удалите потом, и только то, что скажу я. нужно чтобы AVZ ещё подчистил реестр.

>И в безопасном мне все делать?
да
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#11
ок я тогда в безопасный счас токо скрипты сохраню и что мне делать и скоро выложу логи
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#12
Вот все сделал ожидается токо MBAM вот логи которые есть и карантин:

И уже я ток недавно запустит MBAM и уже 10 нашел чего то там(

И в диспечере уже вместо тех файлов наблюдаю TASKMAN.EXE
 

Вложения

Последнее редактирование модератором:

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#13
Обязательно!
Установите Service Pack 3 (если не установлен) + все последующие обновления
Установите Internet Explorer 8
Обновите Adobe Flash Player
Обновите Java SE


Загрузитесь в безопасный режим.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\WINDOWS\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\autorun.inf');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Удалите в MBAM только данные элементы
Код:
Обнаруженные процессы в памяти:  1
C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> 1904 -> Действие не было предпринято.

Обнаруженные ключи в реестре:  8
HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято.

Объекты реестра обнаружены:  5
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun.B) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.

Обнаруженные папки:  1
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Действие не было предпринято.

Обнаруженные файлы:  16
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> Действие не было предпринято.
C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\cache\turbo\sesn\opr00B2J.tmp (Trojan.Agent) -> Действие не было предпринято.
D:\AVZ\avz4\Quarantine\2012-01-04\avz00001.dta (Backdoor.IRCBot) -> Действие не было предпринято.
D:\AVZ\avz4\Quarantine\2012-01-06\avz00001.dta (Backdoor.IRCBot) -> Действие не было предпринято.
C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> Действие не было предпринято.

Сделайте новые логи AVZ & RSIT
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#14
когда я выполняю скрипт в безопасне он перезагружает комп на обычный режим а тут вот и AVZ и MBAM надо в безопасном режиме что делать?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,555
Симпатии
4,909
#15
После выполнения скрипта и перезагрузки продолжайте делать в обычном.
 
Последнее редактирование:

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#16
Сканирование MBAM закончил лог кидать? (лог до выполнения скрипта!)
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,555
Симпатии
4,909
#17
Удалите в МВАМ все, что вам написал S.R,
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#18
я второй скрипт еще не делал вот и спрашиваю удалять счас или после скрипта?
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#20
скрипт выполнил вот логи и карантин AVZ осталось токо MBAM удалить те файлы которые вы мне указали

[info]Карантины не присоединяйте к сообщению ! Карантин высылайте по указанной форме ![/info]
 

Вложения

Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.