Автозагрузка вируса.

[MaxNuclear]

Завелся вирус с файликом csrcs. Сам файл вроде как был удален антивирусом, к сожалению удалялся карантин, точно не скажу. Давеча начало выдавать при запуске винды ошибку, что-то вроде "не могу найти csrcs.ехе, ткните "пуск" - "найти" и ищите". Проверял автозагрузку, не могу найти, что именно может его пытаться грузить. Сканировал своим нодом, потом провел весь описаный в правилах форума цикл процедур, выкладываю логи.

в автозагрузке (мысли в слух):

Aticcc - к видеокарте

Create Virtual Drive For Denwer - автозагрузка создания вирт. диска Z

Ctfmon.exe - :D (?)

Daemon Tools Pro Agent1 - демонтулз

Egui - нод

KillKopy - что-то вроде анлокера (ниже) удалю с процессов, не пользуюсь :)

Lclock - прога для часов

StartCCC - находится рядом с Атиссс, к видеокарте

UnlokerAssistant - прога разблокирующая к примеру неудаляющиеся файлы

Vistadrv - стиль висты на ХР (?)

WheelMouse - прога к Х7 мышке.

ПыСы. Было бы чудесно, если вдруг тема попадется кому-то на глаза и решение будет не сложным, чтобы я получил ответ сегодня днем. Т. к. потом не будет выхода в интернет, придется действовать в обход, через знакомых.

ПыПыСы. Нашел тройку похожих тем на форуме, прочтя решить проблему не смог.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');QuarantineFile('c:\windows\system32\ctfmon.exe','');BC_ImportQuarantineList;ExecuteRepair(16);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe 

[Leok]

Это в какой проге надо сделать?

[ТроПа]

Что именно?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". как написано тут

Пофиксить в HijackThis следующие строчки - тут

[FagotAdmin]

Завелся вирус с файликом csrcs. Сам файл вроде как был удален антивирусом, к сожалению удалялся карантин, точно не скажу. Давеча начало выдавать при запуске винды ошибку, что-то вроде "не могу найти csrcs.ехе, ткните "пуск" - "найти" и ищите". Проверял автозагрузку, не могу найти, что именно может его пытаться грузить. Сканировал своим нодом, потом провел весь описаный в правилах форума цикл процедур, выкладываю логи.

в автозагрузке (мысли в слух):

Aticcc - к видеокарте

Create Virtual Drive For Denwer - автозагрузка создания вирт. диска Z

Ctfmon.exe - :) (?)

Daemon Tools Pro Agent1 - демонтулз

Egui - нод

KillKopy - что-то вроде анлокера (ниже) удалю с процессов, не пользуюсь :)

Lclock - прога для часов

StartCCC - находится рядом с Атиссс, к видеокарте

UnlokerAssistant - прога разблокирующая к примеру неудаляющиеся файлы

Vistadrv - стиль висты на ХР (?)

WheelMouse - прога к Х7 мышке.

ПыСы. Было бы чудесно, если вдруг тема попадется кому-то на глаза и решение будет не сложным, чтобы я получил ответ сегодня днем. Т. к. потом не будет выхода в интернет, придется действовать в обход, через знакомых.

ПыПыСы. Нашел тройку похожих тем на форуме, прочтя решить проблему не смог.

ЛЕЧЕНИЕ:

Отключаем восстановление системы!

Отключаем сеть! (выдергиваем сетевой кабель из карты)

Удаляем все точки восстановления системы.

Качаем с сайта Кассперского архив с файлом реестра, для отключения автозапуска с флешек Sality_RegKeys.zip В архиве вам нужен файл под названием Disable autorun.reg

нажимаем на него двойным кликом, и соглашаемся с внесением изменений в реестр системы, нажатием на кнопку ОК После этого обязательно перезагружаем систему!!!

Присоеденяем флешки к компьютеру, которые как Вы думаете могут быть заражены.

Завершаем в ручную в диспетчере задач процесс csrcs.exe Иначе не даст себя удалить в папке \system32

Удаляем файлы csrcs.exe и Autorun.inf по адресу Windows\system32\

так как отображение скрытых системных файлов заблокировано, создаем RARовский архив например на рабочем столе, и открываем в нем папку system32 находим вышеуказанные файлы и в нем удаляем.

С того же архива заходим на каждый раздел жесткого диска и удаляем файлы под названием "khr"

Далее открываем с архива флешку, и смотрим ее на предмет зараженности.

Ищем и удаляем в корне флеш накопителя файл запуска вируса Autorun.inf

Ищем и удаляем в корне флеш накопителя файл наподобии vskjwg.exe (случайное имя.ехе)

Правим ключи реестра которые изменил червь:

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\

Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\

Имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe) далее

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, csrcs.exe

Удаляем в каталоге Run ключ запуска csrcs.exe

Если не почистить реестр, будут кумарить сообщения при старте системы что то типа "СИСТЕМЕ НЕ УДАЛОСЬ НАЙТИ ФАЙЛ CSRCS.EXE"

И последний штрих, восстанавливаем отображение скрытых и системных файлов:

Качаем, (ЗДЕСЬ) или где нибудь берем утилиту AVZ 4.3

Запускаем ее, и далее идем по пути >файл>восстановление системы>ставим галочку на пункте №8 и нажимаем "Выполнить отмеченные операции" дожидаемся окончания выполнения задачи, закрываем программу.

Перезагружаем операционную систему.

Создаем новую точку восстановления системы.

Все система чиста!

[Yezhishe]

To FagotAdmin

!

Предупреждение: Ничего, что вопрос решился почти полгода назад?