видоизменяющийся вирус.помогите!

[Antony1983]

вирус переносится через флешку, использует авторан, на флешке виден в скрытом виде,при попытке поймать его,защищаясь, меняет свое имя папки.Весит папка около 600 кб.Антивирус касперского фиксирует и даже блокирует его активность,но не лечит,а вскоре вирус снова пишется на флеш носитель...Действия: постепенно отключает доступ к службам,блокирует диспетчер задач,редактор реестра,чудит в свойствах папки и т. д.Постепенно комп начинает работать медленнее и подвисать,также ломает фаилы заменяя их на каля-баля.....

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Acpitnts2-', 4);QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');QuarantineFile('F:\jmddyn.exe','');QuarantineFile('F:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\NavLogon.dll','');QuarantineFile('Acpitnts2-.sys','');QuarantineFile('C:\Documents and Settings\Макет\Application Data\Mozilla\Firefox\Profiles\a2m55gi0.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}\components\FFAlert.dll','');QuarantineFile('c:\windows\system32\csrcs.exe','');DeleteFile('c:\windows\system32\csrcs.exe');DeleteFile('Acpitnts2-.sys');DeleteFile('C:\WINDOWS\system32\csrcs.exe');DeleteFile('F:\jmddyn.exe');DeleteFile('F:\autorun.inf');DeleteService('Acpitnts2-');BC_ImportALL;ExecuteRepair(16);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource=10&ctid=CT1098640F2 - REG:system.ini: Shell=Explorer.exe csrcs.exeF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

Включите AVZPM и повторите логи.

Какой у Вас антивирус Symantec или Касперский?

[Antony1983]

Касперского временного поставил а так симантек ,который обнвляется через прокси,но я его выгрузил

Я сейчас делаю скрипты на другом умирающем компе,предполагаю,что помимо авторана ,кот. пишется на флешку есть еще парочку и фаиловых вирусов

Изменено 2 ноября, 2008 пользователем akoK

[akoK]

Большая просьба не цитировать такие большие куски текста....сбивает очень :D

Только для другой машины отдельную тему пожалуйста, не будем скрещивать.

P>S> Данные методики не позволят устранить файловый вирус, для них отдельные инструменты.

Лечение файлового вируса.

[Antony1983]

а на флешку записывается фаиловый вирус или просто червь? И как его искоренить ,если что-то типа червя?

[akoK]

А чем мы занимаемся? Обычно червь, но я не знаю, что за файловый вирус, и какие файлы он любит поражать.