Проблема с флэшками, после посещения компьютера

Андрей4132 · 21.07.2011, 13:34

Добрый день, уважаемые!

Такая ситуация. На работе имеется один компьютер, не подсоединенный к интернету и локалке,
но если вставить флэшку, вся информация (папки) на ней становится ярлычками. Если мне
приходится работать с этим компьютером, то все файлы архивирую и все нормально,
но остальные юзеры, не делают этого и начинают возмущаться куда все пропало, вроде вижу,
но открыть не могу (потому что ярлык).
Что это такое, подскажите?

Заранее благодарю.

safety · 21.07.2011, 13:49

скорее всего, кто-то занес с флэшкой вирус на этот компьютер, и теперь происходит обратный процесс - вирус с компьютера возвращается на флэшки пользователей.

.
сделайте логи на этом компьютере.
http://pchelpforum.ru/f26/t6442/

Андрей4132 · 21.07.2011, 14:28

Все сделал.
http://webfile.ru/5449931
http://webfile.ru/5449933

safety · 21.07.2011, 14:44

Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system\Fun.exe','');
 QuarantineFile('C:\Documents and Settings\Андрей\ctfmon.exe','');
 DeleteFile('C:\Documents and Settings\Андрей\ctfmon.exe');
 DeleteFile('C:\WINDOWS\system\Fun.exe');
 DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Пришлите quarantine.zip сюда sendvirus2011@gmail.com

---------- Добавлено в 16:38 ---------- Предыдущее сообщение было написано в 16:37 ----------

так же сделайте на зараженной машине

сделайте дополнительно образ автозапуска в uVS

качаем утилиту uVS отсюда - здесь поновее версия, 3.67
http://exfile.ru/193716
пасс -1367

uVS (3.67) без autorun.inf вот по этой ссылке (для тех кто с Авастом (или GData) дружит

),
http://exfile.ru/195496
пасс - 1367

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать запустить под текущим пользователем.
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраняем файл, добавляем в архив rar или 7z и заливаем сюда.

---------- Добавлено в 16:44 ---------- Предыдущее сообщение было написано в 16:38 ----------

так же,
в hijackthis пофиксить

Код:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\WinSit.exe
F3 - REG:win.ini: load=C:\WINDOWS\inf\Other.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\config\Win.exe
O4 - HKCU\..\Run: [Fun] C:\WINDOWS\system\Fun.exe
O4 - HKCU\..\Run: [dc] C:\WINDOWS\dc.exe

Андрей4132 · 21.07.2011, 14:51

Пока делается скрипт на другой машине, решил написать, что
вот это
сделайте дополнительно образ автозапуска в uVS
качаем утилиту uVS отсюда - здесь поновее версия, 3.67
http://exfile.ru/193716
пасс -1367
uVS (3.67) без autorun.inf вот по этой ссылке (для тех кто с Авастом (или GData) дружит ),
http://exfile.ru/195496
пасс - 1367
скачать не могу, браузер говорит, не удалось открыть узел, операция прервана.

maksimog · 21.07.2011, 15:00

Попробуйте
http://rghost.ru/15289861

safety · 21.07.2011, 15:01

Цитата:

Сообщение от Андрей4132

uVS (3.67) без autorun.inf вот по этой ссылке (для тех кто с Авастом (или GData) дружит ),
http://exfile.ru/195496
пасс - 1367[/B]
скачать не могу, браузер говорит, не удалось открыть узел, операция прервана.

я специально дал вторую ссылку для тех кто с Авастом работает.

Андрей4132 · 21.07.2011, 15:24

Дмитрий, да я видел, все равно ни чего не выходило.
Скачал по ссылке maksimog,

---------- Добавлено в 14:24 ---------- Предыдущее сообщение было написано в 14:05 ----------

Все сделал.
Все отослал.
http://webfile.ru/5450031
http://webfile.ru/5450046

safety · 21.07.2011, 15:37

по первому логу

Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

---------- Добавлено в 17:30 ---------- Предыдущее сообщение было написано в 17:29 ----------

по второму логу

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\NDIS.SYS
Имя файла NDIS.SYS
Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске

www.virustotal.com 2010-12-01 [2010-09-16]
AntiVir RKIT/Protector.BC
Avast Win32:Malware-gen
Avast5 Win32:Malware-gen
BitDefender Rootkit.Kobcka.Patched.Gen
DrWeb BackDoor.Bulknet.507
Kaspersky Virus.Win32.Protector.f
NOD32 Win32/Protector.K
Symantec Trojan.Pandex

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске
Размер 211072 байт
Создан 18.08.2003 в 02:00:00
Изменен 28.09.2010 в 12:53:05
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]

Доп. информация на момент обновления списка
SHA1 0EA8A30687C245716BA8DFCE9C59210B965B3464
MD5 D10EC5534AE81F81F35C0E8EB289D4F7

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\NDIS\
NDIS тип запуска: На этапе загрузки (0)

---------- Добавлено в 17:34 ---------- Предыдущее сообщение было написано в 17:30 ----------

выполнить вот это скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.67 script [http://dsrt.dyndns.org]

delall F:\DUDE\\SILIKONJARE.EXE
delall F:\DUDE\\\SILIKONJARE.EXE
deltmp
delnfr
czoo
regt 1
regt 2
regt 5
regt 13
regt 14
regt 23
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.

3. архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

---------- Добавлено в 17:37 ---------- Предыдущее сообщение было написано в 17:34 ----------

так же,
рекомендую, скачать отсюда загрузочный диск от Есет,
http://ess.nichost.ru/eset_sysrescue.iso
записать на CD
и выполнить полное сканирование зараженного компьютера

Андрей4132 · 21.07.2011, 16:01

safety и maksimog, СПАСИБО Вам большое.
С уважением, Андрей.

21.07.2011, 13:34	#1 (ссылка)
Андрей4132 Новичок Регистрация: 20.07.2011 Сообщений: 18 Репутация: 0	Проблема с флэшками, после посещения компьютера Добрый день, уважаемые! Такая ситуация. На работе имеется один компьютер, не подсоединенный к интернету и локалке, но если вставить флэшку, вся информация (папки) на ней становится ярлычками. Если мне приходится работать с этим компьютером, то все файлы архивирую и все нормально, но остальные юзеры, не делают этого и начинают возмущаться куда все пропало, вроде вижу, но открыть не могу (потому что ярлык). Что это такое, подскажите? Заранее благодарю.

21.07.2011, 14:44	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Выполните скрипт в AVZ: Как выполнить написано тут http://pchelpforum.ru/f26/t24207/ Код: begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system\Fun.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\ctfmon.exe',''); DeleteFile('C:\Documents and Settings\Андрей\ctfmon.exe'); DeleteFile('C:\WINDOWS\system\Fun.exe'); DeleteFile('F:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполните скрипт в AVZ: Код: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Пришлите quarantine.zip сюда sendvirus2011@gmail.com ---------- Добавлено в 16:38 ---------- Предыдущее сообщение было написано в 16:37 ---------- так же сделайте на зараженной машине сделайте дополнительно образ автозапуска в uVS качаем утилиту uVS отсюда - здесь поновее версия, 3.67 http://exfile.ru/193716 пасс -1367 uVS (3.67) без autorun.inf вот по этой ссылке (для тех кто с Авастом (или GData) дружит ), http://exfile.ru/195496 пасс - 1367 Распаковать архив, запустить файл Start.exe Появится окно программы - нажать запустить под текущим пользователем. Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраняем файл, добавляем в архив rar или 7z и заливаем сюда. ---------- Добавлено в 16:44 ---------- Предыдущее сообщение было написано в 16:38 ---------- так же, в hijackthis пофиксить Код: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\WinSit.exe F3 - REG:win.ini: load=C:\WINDOWS\inf\Other.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\config\Win.exe O4 - HKCU\..\Run: [Fun] C:\WINDOWS\system\Fun.exe O4 - HKCU\..\Run: [dc] C:\WINDOWS\dc.exe

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
После включения компьютера появляется это...	artem_kas	Неисправности, настройка	9	05.04.2011 20:53
Отсутствие звука после зависания компьютера.	Caridee	Неисправности, настройка	16	24.03.2011 01:22
История посещения сайтов	Премио	Интернет и сети	6	24.01.2011 18:42
Проблема с флэшками.	vor_ml	Windows 7	51	31.12.2010 10:19
Выключение компьютера после перезагрузки	Somilya	Неисправности, настройка	6	28.12.2010 01:55
Перезагрузка компьютера через 1,5 мин. после включения.	ENSO	Неисправности, настройка	18	23.03.2010 18:54
Проблема с флэшками	Ярослав Титомир	Безопасность	10	01.02.2010 16:47
После загрузки компьютера, монитор отключается	raam-jaane	Неисправности, настройка	1	14.01.2010 20:55
Проблема с флэшками	diablo	Неисправности, настройка	10	19.10.2009 09:52
Проблемы с USB флэшками	viva1970	Периферия	8	06.09.2009 23:50
Перезагрузка компьютера после сообщения	Asteroid	Безопасность	8	03.10.2008 14:55
Как и где продать посещения своего сайта?	Serhii Parvuliusov	Работа	13	02.07.2008 21:10

21.07.2011, 13:49	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	скорее всего, кто-то занес с флэшкой вирус на этот компьютер, и теперь происходит обратный процесс - вирус с компьютера возвращается на флэшки пользователей. . сделайте логи на этом компьютере. http://pchelpforum.ru/f26/t6442/

21.07.2011, 14:28	#3 (ссылка)
Андрей4132 Новичок Регистрация: 20.07.2011 Сообщений: 18 Репутация: 0	Все сделал. http://webfile.ru/5449931 http://webfile.ru/5449933

21.07.2011, 14:51	#5 (ссылка)
Андрей4132 Новичок Регистрация: 20.07.2011 Сообщений: 18 Репутация: 0	Пока делается скрипт на другой машине, решил написать, что вот это сделайте дополнительно образ автозапуска в uVS качаем утилиту uVS отсюда - здесь поновее версия, 3.67 http://exfile.ru/193716 пасс -1367 uVS (3.67) без autorun.inf вот по этой ссылке (для тех кто с Авастом (или GData) дружит ), http://exfile.ru/195496 пасс - 1367 скачать не могу, браузер говорит, не удалось открыть узел, операция прервана.

21.07.2011, 15:00	#6 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Попробуйте http://rghost.ru/15289861

21.07.2011, 15:24	#8 (ссылка)
Андрей4132 Новичок Регистрация: 20.07.2011 Сообщений: 18 Репутация: 0	Дмитрий, да я видел, все равно ни чего не выходило. Скачал по ссылке maksimog, ---------- Добавлено в 14:24 ---------- Предыдущее сообщение было написано в 14:05 ---------- Все сделал. Все отослал. http://webfile.ru/5450031 http://webfile.ru/5450046

21.07.2011, 16:01	#10 (ссылка)
Андрей4132 Новичок Регистрация: 20.07.2011 Сообщений: 18 Репутация: 0	safety и maksimog, СПАСИБО Вам большое. С уважением, Андрей.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads