Заражение Win32.Fujacks.I virus

[masterlee]

Доброго времени суток всем!

Столкнулся с такой проблемой. У меня компьютер, медиаплеер Dune Base 3.0 со внутренним диском подключены через роутер. Я бы особо и не парился, пока не заметил, что стали появляться определённый файлы на внутреннем диске медиаплеера Dune. Симптом таковы: в корне появляется файл Gamesetup.exe, а в каждой папке и в подпапках файлы с одним и тем же именем Desktop_.ini. Открытие .ini файла показывает только текщую дату - ничего более. Проблема в том, что я как-то плеером удалил этот файл, а он появился снова. Я стал проверять антивирусом Nod32 - он поймал это Gamesetup.exe, показал, что это вирус, удалил его. Я решил удалить все эти .ini файлы. Оказывается, что стоит только начать их удалять, они генерируются снова, из них генерируется опять этот Gamesetup.exe. И так до бесконечности. Поставил на проверку снова антивирусом, но уже Касперским - результат тот же. Был момент, когда на Дюне всё вычистилось, но стоило мне соединится для копирования некоторых фильмов, всё сызнова. Пробовал Авастом - всё тоже самое. Причём на компьютере самом ничего не обнаруживается - только на Дюне, хотя по форуму я понял, что проблема как раз в компе. Помогите очистить всю систему, а уж систему я потом переставлю. Как подцепил, я уже понял - торрент клиент, причём прицепилось при скачивании Blu-Ray фильмов (файлы .m2ts) - это антивирусники показывали при скачивании, перемещали их в карантин и всё, хотя должны были их удалять сразу. Прилагаю нужные логи. Помогите пожалуйста - не хочется как-то всё форматировать, ибо медиафайлов очень много. Заранее большое спасибо

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[masterlee]

Всё сделал по описанию. Единственное, что хотелось бы заранее быть готовым к тому, что при создании уже ComboFix.txt, может, возникнуть казус с установленным антивирусом - мой Касперский решил повыпендриваться и не пропускал процесс создания Какие дальнейшие мои действия? И самое главное, как обезопасить от заражения машину? От торрента, конечно, не хотелось бы отказываться . Может, в Касерском интернет секюрите нужно что-то поднастроить, а то я по наитию настраивал

ComboFix.txt

[thyrex]

Что сейчас с проблемой?

[masterlee]

На Дюне так оно и осталось, попробовал удалить Gamesetup.exe антивирусом, а все созданные .ini удалить с очистокй сразу в корзину. Антивирус ничего не показывает при скане на вирусы, но вот Тотал командером боюсь зайти - так мне он уже надоел. Вроде, нет, но у меня уже так было, что удалить они удалились с Дюны, а потом через сколько-то появились, так что отпишу ещё завтра - думаю, к 12 уже проявится, если что.

 

Как и предполагал, началось всё тоже самое Только теперь пишут при ловле Fujacks.ca

[Roman_Five]

проверьте систему с помощью Kaspersky Rescue Disk 10

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/

описание - http://support.kaspersky.ru/viruses/rescuedisk/all

 

после этого сделайте новые логи

[masterlee]

Добрый день!

 

Проверил Касперским диск рескью 10. Как я понял, ещё подобная гадость засела в управляющей части диска, что находился в Дюне. Непосредственно та запись, которую винда под себя затачивает на каждом диске, который видит. Опять при комбофиксе проскочил Нотпэд.exe но уже какой-то другой файл в системе. Отчёт прикреплён. Посмотрите пожалуйста и дайте рекомендации по защите от такой гадости.

ComboFix.txt

[snifer67]

c:\windows\system32\notepad.exe проверьте на http://www.virustotal.com/

[Roman_Five]

после этого сделайте новые логи

имелось ввиду логи AVZ

[masterlee]

Вот, логи, которые Вы просили

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

Восьмой пост читайте.

[masterlee]

Всё по нулям, только 2 возмутились:

 

Mac Afee GW Edition - Heuristic.BehavesLike.Win32.Trojan.H

Symantec - WS.Reputation.1

 

И что мне с того? Что можно предпринять-то?

Нормальный файл или всё плохо? 2 из 48 это хорошо или плохо? (4.8%)

Изменено 5 ноября, 2010 пользователем masterlee

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\drivers\CTERFXFX.SYS','');
QuarantineFile('c:\windows\system32\notepad.exe','');
QuarantineFile('c:\windows\system32\drivers\*.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

[masterlee]

Отправить отправил, но меня это так достало. Решил я поставить чистую систему. Решил использовать новый ZverDVD. Что Вы думаете? На чистой систему решил проверить нотпэд.exe. Как Вы думаете, какой результат? Не поверил бы - на чистую 3 антивира возмутились, но, правда, мало известные мне. Задумался теперь...сейчас решил пока поставить Win7. Как ответ будет от лаборатории, выложу - пока прислали письмо, что мол в процессе. Правда, странно, что на английском всё.

[Roman_Five]

Правда, странно, что на английском всё.

это нормально

файлы *.exe изи c:\windows\system32\drivers\ в карантин попали?

Изменено 7 ноября, 2010 пользователем Roman_Five