Guzu.exe

Anisette · 09.09.2010, 23:33

здравствуйте. помогите кто может, сил нету
Win xp sp2. на любой флешке при вставлении в ноут появляется папка MARNUO, внутри которой файл guzu.exe
при попытке удаления пишет что файл занят каким-то приложением.
с помощью утилитки WhoLockMe нашёл путь к процессу коим был Explorer.exe
Убил его и смог удалить и папку и guzu, но... при вытаскивании и опять вставлении опять всё начинается заново.
KIS 2010 лицензионный и AVIRA лицензионная ничего не видят, что это и как с этим бороться, может кто-нибудь встречался с этим...
и ещё такая же хрень происходит и с autorun.inf, не открыть, занят эксплорером. после убития и открытия autorun.inf в нём обнаруживается это

Гризлик · 09.09.2010, 23:39

Anisette,сделайте логи http://pchelpforum.ru/f26/t35642/

Anisette · 09.09.2010, 23:40

Гризлик · 09.09.2010, 23:46

Anisette, Пост выше

Anisette · 10.09.2010, 00:30

Скачать virusinfo_syscure.zip с exfile.ru
Скачать hijackthis.log с exfile.ru

Iljeben · 10.09.2010, 06:17

Anisette, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\dafess\Application Data\sjlp.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('J:\autorun.inf');
 DeleteFile('J:\MARNUO\\guzu.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Вот этот файл C:\WINDOWS\system32\drivers\archlp.sys проверьте на virustotal.com результат сообщите.

Anisette · 10.09.2010, 12:02

Скачать virusinfo_syscheck.zip с exfile.ru

Цитата:

Сообщение от Iljeben

Вот этот файл C:\WINDOWS\system32\drivers\archlp.sys проверьте на virustotal.com результат сообщите.

а файла этого нет больше. нигде на компе, поиск не дал результатов
а скрипт помог, при вставлении на флешке не появилось инородных тел)
Большое спасибище!!!
..и если можно последний вопрос - почему антивири не видят эту хрень?

Iljeben · 10.09.2010, 14:52

Anisette, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\archlp.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\archlp.sys');
 DeleteService('archlp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. На этом закончим лечение.

Цитата:

Сообщение от Anisette

почему антивири не видят эту хрень?

В этом большое преимущество AVZ перед антивирусами. AVZ позволяет выявлять новые и неизвестные вирусы.

Anisette · 10.09.2010, 17:54

Спасибо большое!

videomyxa · 20.09.2010, 23:07

проблема та же, выполнил оба скрипта, но все равно папка MARNUO с autorun появляется снова

Iljeben · 20.09.2010, 23:26

videomyxa, не выполняем чужие скрипты!!! Выложите логи по этой инструкции.

sabsab · 04.10.2010, 19:21

Цитата:

Сообщение от Iljeben

DeleteFile('C:\Documents and Settings\dafess\Application Data\sjlp.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('J:\autorun.inf'); DeleteFile('J:\MARNUO\\guzu.exe');

Я не знаю что еще делает AVZ, но из сказаного выше становится ясно, что следует удалить!

Поэтому просто гружусь с чего угодно, хоть с LiveCD, хоть с Dos - дискеты.

Захожу в C:\Documents and Settings\dafess\Application Data\ и удаляю sjlp.exe
Т.о., считаю, что тело вируса я уничтожил!

После чего гружусь обычным образом с диска

В Реестре, с помощю Regedit выполняю поиск по значению "sjlp.exe", и нахожу в

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

запись с:
Именем: TASKMAN
Значением: C:\Documents and Settings\Bogdanec\Application Data\sjlp.exe

Удаляю эту запись!
Считаю, что машина чистая!
Осталось почистить флешки.

---------- Добавлено в 17:14 ---------- Предыдущее сообщение было написано в 17:03 ----------

Чиска флешек.

Поскольку распространение вируса выполняет guzu.exe из каталога MARNUO, а запускается он через выполнение autorun.inf при подключении флешки, то флешку надо вставить в момент начальной загрузки: винда не готова и autorun.inf не выполнится! А значит, заражение не пойдет!

После этого:
Посколку в Проводнике на флешке каталог MARNUO не виден!
Просто Командером удаляю и каталог MARNUO и autorun.inf.
Все, считаю, что флешка чистая!

Кстати, это можно проделать даже на зараженой машине, удаление не блокируется!

---------- Добавлено в 17:21 ---------- Предыдущее сообщение было написано в 17:14 ----------

Цитата:

Сообщение от Iljeben

DeleteFile('C:\WINDOWS\system32\drivers\archlp.sys ');
DeleteService('archlp');

А что такое (что делает) archlp.sys ?
Почему вы его удаляете?
Это блокератор доступа к MARNUO ?

Iljeben · 04.10.2010, 19:48

sabsab, Вас беспокоят вирусы или Вы решили сделать краткий обзор моих скриптов? Если первое то выложите логи по правилам.

Гризлик · 04.10.2010, 23:08

Цитата:

Сообщение от sabsab

Я не знаю что еще делает AVZ, но из сказаного выше становится ясно, что следует удалить!

Поэтому просто гружусь с чего угодно, хоть с LiveCD, хоть с Dos - дискеты.

Захожу в C:\Documents and Settings\dafess\Application Data\ и удаляю sjlp.exe
Т.о., считаю, что тело вируса я уничтожил!

После чего гружусь обычным образом с диска

В Реестре, с помощю Regedit выполняю поиск по значению "sjlp.exe", и нахожу в

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

запись с:
Именем: TASKMAN
Значением: C:\Documents and Settings\Bogdanec\Application Data\sjlp.exe

Удаляю эту запись!
Считаю, что машина чистая!
Осталось почистить флешки.

А сколько у вас на это уйдет времени??? В AVZ это делается одним кликом мыши. Разницу чуствуйте?

09.09.2010, 23:33	#1 (ссылка)
Anisette Новичок Регистрация: 23.08.2010 Сообщений: 14 Репутация: 0	Guzu.exe здравствуйте. помогите кто может, сил нету Win xp sp2. на любой флешке при вставлении в ноут появляется папка MARNUO, внутри которой файл guzu.exe при попытке удаления пишет что файл занят каким-то приложением. с помощью утилитки WhoLockMe нашёл путь к процессу коим был Explorer.exe Убил его и смог удалить и папку и guzu, но... при вытаскивании и опять вставлении опять всё начинается заново. KIS 2010 лицензионный и AVIRA лицензионная ничего не видят, что это и как с этим бороться, может кто-нибудь встречался с этим... и ещё такая же хрень происходит и с autorun.inf, не открыть, занят эксплорером. после убития и открытия autorun.inf в нём обнаруживается это Последний раз редактировалось Anisette; 09.09.2010 в 23:39.

10.09.2010, 06:17	#6 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Anisette, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\dafess\Application Data\sjlp.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('J:\autorun.inf'); DeleteFile('J:\MARNUO\\guzu.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Вот этот файл C:\WINDOWS\system32\drivers\archlp.sys проверьте на virustotal.com результат сообщите.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Guzu.exe	videomyxa	Безопасность	5	21.09.2010 22:28

09.09.2010, 23:39	#2 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Anisette,сделайте логи http://pchelpforum.ru/f26/t35642/

09.09.2010, 23:40	#3 (ссылка)
Anisette Новичок Регистрация: 23.08.2010 Сообщений: 14 Репутация: 0

09.09.2010, 23:46	#4 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Anisette, Пост выше

10.09.2010, 00:30	#5 (ссылка)
Anisette Новичок Регистрация: 23.08.2010 Сообщений: 14 Репутация: 0	Скачать virusinfo_syscure.zip с exfile.ru Скачать hijackthis.log с exfile.ru

10.09.2010, 17:54	#9 (ссылка)
Anisette Новичок Регистрация: 23.08.2010 Сообщений: 14 Репутация: 0	Спасибо большое!

20.09.2010, 23:07	#10 (ссылка)
videomyxa Новичок Регистрация: 20.09.2010 Сообщений: 6 Репутация: 0	проблема та же, выполнил оба скрипта, но все равно папка MARNUO с autorun появляется снова

20.09.2010, 23:26	#11 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	videomyxa, не выполняем чужие скрипты!!! Выложите логи по этой инструкции.

04.10.2010, 19:48	#13 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	sabsab, Вас беспокоят вирусы или Вы решили сделать краткий обзор моих скриптов? Если первое то выложите логи по правилам.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads