Решена вирус через чужую флешку

Статус
В этой теме нельзя размещать новые ответы.

Elka33

Участник
Сообщения
78
Реакции
3
Добрый день! Помогите, пожалуйста...
 

Вложения

  • virusinfo_syscure.zip
    20.5 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    20.8 KB · Просмотры: 2
  • log.txt
    23.2 KB · Просмотры: 2
  • info.txt
    22.9 KB · Просмотры: 2
Приветствую Elka33, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Здравствуйте!
Опишите, пожалуйста, подробнее что происходит.
Файл C:\configuration\configuration.exe вам знаком?
 
с таким файлом не сталкивалась в работе. Может для чего и нужен.. А подробнее: вирус видимо словила через чужую флешку. И теперь при попытке открыть какой-либо носитель, выскакивает табличка: "В устройстве нет диска. Вставьте диск в устройство \Device\Harddisk2\DR2." Нажимаю на отмену, все равно появляется. И файлы на флешке отображаются, как ярлыки. Антивирус пытается переместить в карантин что-то видимо ужасное... (см.вложение)
 

Вложения

  • скрин.jpg
    скрин.jpg
    83.6 KB · Просмотры: 46
Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\Эльвира\AppData\Roaming\Microsoft\Qomimy.exe','');
 QuarantineFile('C:\configuration\configuration.exe','');
 DeleteFile('C:\Users\Эльвира\AppData\Roaming\Microsoft\Qomimy.exe');
 DeleteFile('C:\configuration\configuration.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qomimy');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

Обновите базы Malwarebytes' Anti-Malware, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
 
+ к написанному выше

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.73 script [http://dsrt.dyndns.org]
    
    adddir %SystemDrive%\USERS\Эльвира\APPDATA\ROAMING
    crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат"имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
  9. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  10. Подробнее читайте в руководстве Как подготовить лог UVS
 
Последнее редактирование:
часть выполнила, а сканирование Sniffer выложу завтра с утра, уже нет доступа к компьютеру.
 

Вложения

  • log.txt
    21 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    18.7 KB · Просмотры: 1
  • MBAM-log-2013-06-12_(13-40-28).txt
    2.9 KB · Просмотры: 2
Повторите сканирование в MBAM и удалите только:
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Screen Saver Pro 3.1 (Trojan.Agent.SCR) -> Параметры: C:\Users\Эльвира\AppData\Roaming\ScreenSaverPro.scr -> Действие не было предпринято.

C:\Users\Эльвира\AppData\Roaming\temp.bin (Worm.Dorkbot) -> Действие не было предпринято.
Лог после удаления покажите.

Далее:
Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\Эльвира\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\Эльвира\AppData\Roaming\Gomimo.exe','');
 QuarantineFile('C:\Users\Эльвира\AppData\Roaming\temp.bin','');
 DeleteFile('C:\Users\Эльвира\AppData\Roaming\temp.bin');
 DeleteFile('C:\Users\Эльвира\AppData\Roaming\ScreenSaverPro.scr');
 DeleteFile('C:\Users\Эльвира\AppData\Roaming\Gomimo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

Также ждем лог uVS.
 
логи
 

Вложения

  • virusinfo_syscheck.zip
    20.4 KB · Просмотры: 2
  • log.txt
    22.3 KB · Просмотры: 0
у меня не получается через вложения отправить лог uVS (интернет не тянет). Отправила на эл.адрес quarantine <at> safezone.cc
 
Во вложении ваш лог UVS
 

Вложения

  • default.zip
    941.4 KB · Просмотры: 1
Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\USERS\ЭЛЬВИРА\APPDATA\ROAMING\TEMP.BIN
zoo %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\TEMP.BIN
; zoo %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\TEMP.BIN
bl E40DB6AC259D0BF00EA4E9BCF4B9CCDA 115712
addsgn A7679B1991A24F7F2FB6EFB14DC50668648A75A375F92A884582C59565F2130D2334DEDF40149D4836AC40DE46155436F99EE85B4802416D2D5CA9F73647225A 16 Backdoor.Win32.Androm.wna

delall %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\SCREENSAVERPRO.SCR

delref D:\SETUP.EXE
delref D:\PAD.EXE
delref G:\MP_ROOT\102MNV01\102MNV01.EXE
delref F:\AUTORUN.EXE
delref G:\AUTORUN.EXE
delref G:\LAUNCHU3.EXE
delref F:\LAUNCHU3.EXE
delref F:\KODAK_SOFTWARE_DOWNLOADER.EXE
chklst
delvir
deltmp
restart
После выполнения скрипта компьютер перезагрузится.

Добавлено через 7 минут 13 секунд
Подготовьте лог лог SecurityCheck by glax24
 
вот..
 

Вложения

  • SecurityCheck.txt
    2.7 KB · Просмотры: 1
  • 2013-06-13_11-23-45_log.txt
    24.7 KB · Просмотры: 2
Установите

Service Pack не установлен Внимание! Скачать обновления
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Дата установки обновлений: 2011-03-18 05:48:56
Adobe Flash Player 10 ActiveX v.10.2.152.32 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.45.2 Внимание! Скачать обновления
Adobe Reader 9 v.9.0.0 Внимание! Скачать обновления

+ сделайте новый лог uVS
 
новый лог uVS
 

Вложения

  • ЭЛЬВИРА-ПК_2013-06-13_12-31-23.zip
    932.6 KB · Просмотры: 2
Выполните скрипт в uVS

Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\ЭЛЬВИРА\APPDATA\ROAMING\MICROSOFT\QOMIMY.EXE
restart

сделайте новый образ автозапуска.
 
сделайте новый образ автозапуска.
 

Вложения

  • ЭЛЬВИРА-ПК_2013-06-13_13-34-07.zip
    934.9 KB · Просмотры: 2
1. Я отключаю автозапуск, у вас заражена флешка.
2. Очищаю все точки восстановления системы
Выполните скрипт UVS
Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
delall H:\RECYCLED.EXE
CEXEC REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
regt 23
regt 19
restart
После выполнения скрипта компьютер перезагрузится.

Добавлено через 17 секунд
Что с проблемой?
 
Зараженная флешка так и осталась зараженной. Только что была у меня заказчица со своей флешкой, кажется я ее тоже заразила...
 
Если информация на флешке не актуальна, то ее можно отформатировать, если важна, то будем лечить.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу