Непонятный троян

[kyk]

Антивирус avast! Home Edition помещает вирус в хранилище, но он снова появляеться на жестких дисках. Имя вируса:

INF: Autorun-F [Trj] , тип Троян. Что можно сделать для избавления от этой напасти? :)

[kRaIT]

Воспользуйся Anti-Autorun, должно помочь.

[Pili]

CureIT должен помочь, запустите полную проверку всех дисков в безопасном режиме.

Дополнительно можете проделать следующее

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[ТроПа]

kyk, выполните

1. Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

3. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

4. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

6. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

7. Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

После этого постараемся Вам помочь. Наличие ауторана в системе, может быть только верхуйкой айсберга.

Спасибо за понимание.

Pili и kyk простите страница не успела обновиться и я не видел, что Вы уже дали рекомендацию

[kyk]

Спасибо! Правда, после выполнения перезагрузки, при нажатии на знаки дисков С и D появлялось окно "Открыть с помощью какой программы"

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[lamauser]

Спасибо! Правда, после выполнения перезагрузки, при нажатии на знаки дисков С и D появлялось окно "Открыть с помощью какой программы"

правой кнопкой на значок-свойства-сервис-выполнить проверку

авось поможет)

[kyk]

правой

кнопкой на значок-свойства-сервис-выполнить проверку

авось поможет)

К сожалению не помогает!

[kyk]

kyk, выполните

1. Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

3. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

4. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

6. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

7. Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

После этого постараемся Вам помочь. Наличие ауторана в системе, может быть только верхуйкой айсберга.

Спасибо за понимание.

Pili и kyk простите страница не успела обновиться и я не видел, что Вы уже дали рекомендацию

Файлы отправил. Правда потом при проверке Авастом было выдано сообщение, что файлы в папке AVZ/LOG заражены.

[Pili]

Просили вас сканировать авастом? ) C:\Program Files\MuxaSoft Dialer\mdialer32.exe ставили?

выполните скрипт

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('C:\Program Files\vghd\vghd.exe','');

QuarantineFile('C:\Program Files\vg\vg.exe','');

QuarantineFile('c:\program files\vghd\virtuagirl_downloader.exe','');

QuarantineFile('D:\autorun.inf ','');

QuarantineFile('C:\autorun.inf ','');

DeleteFile('C:\autorun.inf ');

DeleteFile('D:\autorun.inf ');

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

потом ещё один

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

карантин quarantine.zip выложите на ifolder.ru или другой файлообменник, ссылку сюда или лучше в ПМ

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

карантин quarantine.zip выложите на ifolder.ru или другой файлообменник, ссылку сюда или лучше в ПМ

пофиксите в HJT

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - Startup: VirtuaGirl.lnk = ?

и ещё скрипт

var

X : integer;

begin

X := ExecuteWizard('TSW', 1, 1, true);

AddToLog('Количество найденных проблем = '+inttostr(X));

end.

пароли на онлайн игры скорее всего ушли...

меняете пароли лучше сразу на все инет ресурсы

[kyk]

Просили вас сканировать авастом? ) C:\Program Files\MuxaSoft Dialer\mdialer32.exe ставили?

выполните скрипт

потом ещё один

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

карантин quarantine.zip выложите на ifolder.ru или другой файлообменник, ссылку сюда или лучше в ПМ

карантин quarantine.zip выложите на ifolder.ru или другой файлообменник, ссылку сюда или лучше в ПМ

пофиксите в HJT

и ещё скрипт

пароли на онлайн игры скорее всего ушли...

меняете пароли лучше сразу на все инет ресурсы

MuxaSoft Dialer ставил. Только я не на столько сильный пользователь. Я по поводу выполнения скриптов. Если можно объясните в двух словах.

[Pili]

kyk: Как выполнить скрипт AVZ

[kyk]

kyk: Как выполнить скрипт AVZ

После выполнения первого скрипта, комп сам перезагрузился продолжать ли дальше?

[Pili]

kyk: да, должен был перезагрузится, фиксите, выполняйте следующий скрипт (там повтор, выполнять один раз) выкладывайте карантин, повторите логи.

[kyk]

Просили вас сканировать авастом? ) C:\Program Files\MuxaSoft Dialer\mdialer32.exe ставили?

выполните скрипт

потом ещё один

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

карантин quarantine.zip выложите на ifolder.ru или другой файлообменник, ссылку сюда или лучше в ПМ

карантин quarantine.zip выложите на ifolder.ru или другой файлообменник, ссылку сюда или лучше в ПМ

пофиксите в HJT

и ещё скрипт

пароли на онлайн игры скорее всего ушли...

меняете пароли лучше сразу на все инет ресурсы

я конечно прошу прощения, просто в данный момент не к кому обратиться. Карантин я сделал, а как его выкладывать по указанной Вами ссылке?

[Pili]

http://ifoler.ru или http://slil.ru или на другой файлообменник выложить quarantine.zip (технология такая же как и тут, обзор, находите файл, загружаете.) и дать ссылку для скачивания в сюда же или ПМ

Повторите логи AVZ и hijackthis

[kyk]

http://ifoler.ru или http://slil.ru или на другой файлообменник выложить quarantine.zip (технология такая же как и тут, обзор, находите файл, загружаете.) и дать ссылку для скачивания в сюда же или ПМ

Повторите логи AVZ и hijackthis

Ссылка http://slil.ru/25339924

[kyk]

Ссылка http://slil.ru/25339924

Логи повторил. Файлы прикрепил.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

[Pili]

выполните скрипт

begin

DeleteFile('C:\WINDOWS\system32\wincab.sys');

ExecuteRepair(6);

ExecuteRepair(8);

ExecuteRepair(16);

end.

Вы не пофиксили

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

и скрипт

var

X : integer;

begin

X := ExecuteWizard('TSW', 1, 1, true);

AddToLog('Количество найденных проблем = '+inttostr(X));

end.

видимо не выполняли. Запустите в AVZ мастер поиска и устранения проблем, выберите системные проблемы - все, исправьте

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого вам не нужно?

[kyk]

выполните скрипт

Вы не пофиксили

и скрипт

видимо не выполняли. Запустите в AVZ мастер поиска и устранения проблем, выберите системные проблемы - все, исправьте

что из этого вам не нужно?

Все ваши предписания выполнил. Системных проблем не обнаружено. Что делать дальше? Параллельно один вопрос. Вчера в компе была флешка и вирус прыгнул на нее. Флешку я принудительно удалил. Как быть с ней? Ведь вирус остался на флешке?

[Pili]

Вставлять флешки лучше с нажатой клавишей shift, предотвратит автозапуск, как вы определили что вирус прыгнул на флешку? на компе после выполнения скриптов не должно было остаться зловредов. См. в ПМ.

[kyk]

Вставлять флешки лучше с нажатой клавишей shift, предотвратит автозапуск, как вы определили что вирус прыгнул на флешку? на компе после выполнения скриптов не должно было остаться зловредов. См. в ПМ.

Вчера при удалении вируса авастом, вирус снова появлялся на дисках, в том числе и на флешке (она была активна). Безопасно ее удалить я не мог, выдавалось сообщение, что флешка занята приложением. Я удалил ее принудительно. Более того у меня есть все основания полагать, что вирус попал на комп именно с флешки. Позвонил товарищ и сказал, что унего возникла та же проблема. Он записал на свою флешку игру. А информацию мы брали у третьего лица.

[Pili]

с флешкой можно поступить так, вставляете с зажатым шифтом, смотрите не через FAR или Total commander, (не через проводник!), удаляете все подозрительные exe, vbs или можно флешку отформатировать. Поставьте нормальный антивирус.

Следует отключить автозапуск для сменных дисков и компакт-

дисководов. Автозапуск используют для скрытой загрузки некоторые

типы червей и классических вирусов.

Для 2000, XP Pro, 2003:

Пуск - Выполнить – ввод ‘gpedit.msc’ - OK - Конфигурация компьютера -

Административные шаблоны - Система - Отключить автозапуск

(выберите, где отключать). Далее примените новую политику командой

‘gpupdate’ в консоли.

В XP Home оснастка управления групповыми политиками отсутствует,

однако тот же эффект может быть достигнут ручной правкой реестра:

1) Пуск - Выполнить – ввод ‘regedit’ – OK.

2) Открыть HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.

3) Создать новый раздел

4) Переименовать созданный раздел в Explorer

5) В этом разделе создать ключ NoDriveTypeAutoRun

Допустимые значения ключа:

0x1 - отключить автозапуск на приводах неизвестных типов

0x4 - отключить автозапуск сьемных устройств

0x8 - отключить автозапуск НЕсьемных устройств

0x10 - отключить автозапуск сетевых дисков

0x20 - отключить автозапуск CD-приводов

0x40 - отключить автозапуск RAM-дисков

0x80 - отключить автозапуск на приводах неизвестных типов

0xFF - отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых

значений.

Значения по умолчанию:

0x95 - Windows 2000 и 2003 (отключён автозапуск съемных, сетевых и

неизвестных дисков)

0x91 - Windows XP (отключён автозапуск сетевых и неизвестных дисков)

Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам

раздел Explorer), поэтому выше описан процесс его создания. Для

остальных версий создавать не надо, он уже есть, просто исправьте его.

Также возможно отключение автозапуска диска, которому присвоена

заранее известная буква:

Раздел:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

Ключ: NoDriveAutoRun

Допустимые значения: 0x0–0x3FFFFFF

Значение представляет собой "битовую карту" дисков справа налево -

крайний правый бит (в двоичном представлении) соответствует диску А,

второй справа - B и так далее. Для отключения автозапуска бит должен

быть установлен.

Значение по умолчанию: 0x0

Изменения в реестре применяются только после перезагрузки.

Вчера при удалении вируса авастом, вирус снова появлялся на дисках, в том числе и на флешке (она была активна). Безопасно ее удалить я не мог, выдавалось сообщение, что флешка занята приложением. Я удалил ее принудительно. Более того у меня есть все основания полагать, что вирус попал на комп именно с флешки. Позвонил товарищ и сказал, что унего возникла та же проблема. Он записал на свою флешку игру. А информацию мы брали у третьего лица.

Так мы будем до бесконечности лечится :)

Повторите все логи.

[kyk]

с флешкой можно поступить так, вставляете с зажатым шифтом, смотрите не через FAR или Total commander, (не через проводник!), удаляете все подозрительные exe, vbs или можно флешку отформатировать. Поставьте нормальный антивирус.

Так мы будем до бесконечности лечится :)

Повторите все логи.

Еще раз огромное спасибо за помощь, удачи во всем!!! :D

[Pili]

Пожалуйста :)

Если вирус снова заразил ваш комп, выполните в AVZ скрипт лечения (скрипт 2), AVZ ваш вирус уже знает и удалит, для спокойствия лог можете выложить.

[kyk]

Пожалуйста :)

Если вирус снова заразил ваш комп, выполните в AVZ скрипт лечения (скрипт 2), AVZ ваш вирус уже знает и удалит, для спокойствия лог можете выложить.

Спасибо Pili все в норме! :D