Поймал вирус с флешки!

Hantik · 24.06.2010, 09:19

День добрый!
Вчера вставил свою флешку в чужой компьютер, а потом к себе, на что НОД сразу же сказал, что там вирус.
Теперь НОД постоянно жалуется на то, что происходит постоянное соединение с каким-то сервером и он его блокирует.
Вот логи:
http://exfile.ru/110341 - AVZ
http://exfile.ru/110342 - hijack
Спасибо.

snifer67 · 24.06.2010, 10:45

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('E:\zgodna\\tina.exe','');
 QuarantineFile('C:\Documents and Settings\Александр\ctfmon.exe','');
 DeleteFile('C:\Documents and Settings\Александр\ctfmon.exe');
 DeleteFile('E:\zgodna\\tina.exe');
 DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Выполнить скрипт в AVZ.

Код:

var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)
Сделайте новые логи.

Hantik · 24.06.2010, 13:01

Скрипты выполнил, карантин отправил.
Вот логи:
http://exfile.ru/110408 - AVZ
http://exfile.ru/110410 - hijack

snifer67 · 24.06.2010, 13:26

чисто в общем.

Hantik · 24.06.2010, 13:37

Благодарю!

Hantik · 28.07.2010, 16:11

Здравствуйте, опять проскочил вирус с флешки, пожалуйста помогите его удалить!
Логи:
http://exfile.ru/117106 - AVZ
http://exfile.ru/117105 - hijack

winshelp · 28.07.2010, 16:44

Hantik.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!
Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/

Профиксите в HiJackThis, отметив галкой и нажав в программе "Fix checked":

Код:

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Foxit Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст и нажать "Запустить":

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Александр\Local Settings\Temp\A9AD5DB9-D0D95EBB-392A93A3-556700B3\30af5_xp.exe');
DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Александр\Local Settings\Temp\A9AD5DB9-D0D95EBB-392A93A3-556700B3\30af5_xp.exe');
DeleteFile('C:\Documents and Settings\Александр\ctfmon.exe');
DeleteFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\nbi2P8eh.sys');
DeleteFileMask('C:\Documents and Settings\Александр\Local Settings\Temp', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум.

set of letters · 28.07.2010, 18:14

Цитата:

Сообщение от Hantik

опять проскочил вирус с флешки

папку создай потом после скриптов на флешке вот этой программкой
http://www.bombina.com/s3_anti_autorun.htm

Hantik · 29.07.2010, 08:46

Все выполнил.
Вот логи:
http://exfile.ru/117209 - AVZ
И на всякий случай сделал еще Хайджек
http://exfile.ru/117210

Цитата:

Сообщение от interesnovse-

папку создай потом после скриптов на флешке вот этой программкой
http://www.bombina.com/s3_anti_autorun.htm

Спасибо за совет, сделал!

winshelp · 29.07.2010, 15:28

Hantik, по логам - чисто!

Hantik · 30.07.2010, 07:44

Цитата:

Сообщение от winshelp

Hantik, по логам - чисто!

Спасибо большое!

24.06.2010, 09:19	#1 (ссылка)
Hantik Новичок Регистрация: 27.01.2010 Сообщений: 116 Репутация: 0	Поймал вирус с флешки! День добрый! Вчера вставил свою флешку в чужой компьютер, а потом к себе, на что НОД сразу же сказал, что там вирус. Теперь НОД постоянно жалуется на то, что происходит постоянное соединение с каким-то сервером и он его блокирует. Вот логи: http://exfile.ru/110341 - AVZ http://exfile.ru/110342 - hijack Спасибо.

28.07.2010, 16:44	#7 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Hantik. Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ Профиксите в HiJackThis, отметив галкой и нажав в программе "Fix checked": Код: O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Foxit Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст и нажать "Запустить": Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Александр\Local Settings\Temp\A9AD5DB9-D0D95EBB-392A93A3-556700B3\30af5_xp.exe'); DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Александр\Local Settings\Temp\A9AD5DB9-D0D95EBB-392A93A3-556700B3\30af5_xp.exe'); DeleteFile('C:\Documents and Settings\Александр\ctfmon.exe'); DeleteFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\nbi2P8eh.sys'); DeleteFileMask('C:\Documents and Settings\Александр\Local Settings\Temp', '.', true); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Поймал вирус на сайте	yanealex	Windows 7	0	04.12.2010 20:35
поймал баннер, кто поможет?	pya71	Неисправности, настройка	1	01.09.2010 21:49
Проверьте пожалуйста логи. Поймал вирус блокирующий доступ к сайтам антивирусов	Riso	Безопасность	3	24.05.2010 23:58
Поймал вирус	геннадий р	Безопасность	3	12.05.2010 09:13
Поймал вирус :(	Denis.k	Интернет и сети	1	02.05.2010 15:51
Вирус поймал	Влад-и-мир	Безопасность	13	22.02.2010 14:47
Поймал вирус! Помогите ПЛЗз!!!!	small199230	Безопасность	2	19.01.2010 22:10
Поймал блокирующую прогу	[KOT9PA]	Безопасность	44	18.01.2010 13:41
поймал вирус	andriys	Безопасность	1	21.12.2009 11:56
Поймал вирус	polzovatel	Windows Vista	3	05.09.2009 21:21
поймал вируса!!!	Владимирсан	Безопасность	3	31.01.2009 00:28

24.06.2010, 13:01	#3 (ссылка)
Hantik Новичок Регистрация: 27.01.2010 Сообщений: 116 Репутация: 0	Скрипты выполнил, карантин отправил. Вот логи: http://exfile.ru/110408 - AVZ http://exfile.ru/110410 - hijack

24.06.2010, 13:26	#4 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	чисто в общем.

24.06.2010, 13:37	#5 (ссылка)
Hantik Новичок Регистрация: 27.01.2010 Сообщений: 116 Репутация: 0	Благодарю!

28.07.2010, 16:11	#6 (ссылка)
Hantik Новичок Регистрация: 27.01.2010 Сообщений: 116 Репутация: 0	Здравствуйте, опять проскочил вирус с флешки, пожалуйста помогите его удалить! Логи: http://exfile.ru/117106 - AVZ http://exfile.ru/117105 - hijack

29.07.2010, 15:28	#10 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Hantik, по логам - чисто!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads