Перейти к содержанию
Правила раздела

Заражение Win32.Fujacks.I virus

masterlee

Автор masterlee,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

masterlee

masterlee 0

Опубликовано
Опубликовано

Доброго времени суток всем!

Столкнулся с такой проблемой. У меня компьютер, медиаплеер Dune Base 3.0 со внутренним диском подключены через роутер. Я бы особо и не парился, пока не заметил, что стали появляться определённый файлы на внутреннем диске медиаплеера Dune. Симптом таковы: в корне появляется файл Gamesetup.exe, а в каждой папке и в подпапках файлы с одним и тем же именем Desktop_.ini. Открытие .ini файла показывает только текщую дату - ничего более. Проблема в том, что я как-то плеером удалил этот файл, а он появился снова. Я стал проверять антивирусом Nod32 - он поймал это Gamesetup.exe, показал, что это вирус, удалил его. Я решил удалить все эти .ini файлы. Оказывается, что стоит только начать их удалять, они генерируются снова, из них генерируется опять этот Gamesetup.exe. И так до бесконечности. Поставил на проверку снова антивирусом, но уже Касперским - результат тот же. Был момент, когда на Дюне всё вычистилось, но стоило мне соединится для копирования некоторых фильмов, всё сызнова. Пробовал Авастом - всё тоже самое. Причём на компьютере самом ничего не обнаруживается - только на Дюне, хотя по форуму я понял, что проблема как раз в компе. Помогите очистить всю систему, а уж систему я потом переставлю. Как подцепил, я уже понял - торрент клиент, причём прицепилось при скачивании Blu-Ray фильмов (файлы .m2ts) - это антивирусники показывали при скачивании, перемещали их в карантин и всё, хотя должны были их удалять сразу. Прилагаю нужные логи. Помогите пожалуйста - не хочется как-то всё форматировать, ибо медиафайлов очень много. Заранее большое спасибо

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на сообщение
Поделиться на другие сайты
masterlee

masterlee 0

Опубликовано
  • Автор
Опубликовано

Всё сделал по описанию. Единственное, что хотелось бы заранее быть готовым к тому, что при создании уже ComboFix.txt, может, возникнуть казус с установленным антивирусом - мой Касперский решил повыпендриваться и не пропускал процесс создания :) Какие дальнейшие мои действия? И самое главное, как обезопасить от заражения машину? От торрента, конечно, не хотелось бы отказываться :D . Может, в Касерском интернет секюрите нужно что-то поднастроить, а то я по наитию настраивал

ComboFix.txt

Ссылка на сообщение
Поделиться на другие сайты
masterlee

masterlee 0

Опубликовано
  • Автор
Опубликовано

На Дюне так оно и осталось, попробовал удалить Gamesetup.exe антивирусом, а все созданные .ini удалить с очистокй сразу в корзину. Антивирус ничего не показывает при скане на вирусы, но вот Тотал командером боюсь зайти - так мне он уже надоел. Вроде, нет, но у меня уже так было, что удалить они удалились с Дюны, а потом через сколько-то появились, так что отпишу ещё завтра - думаю, к 12 уже проявится, если что.

 

Как и предполагал, началось всё тоже самое :) Только теперь пишут при ловле Fujacks.ca

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано

проверьте систему с помощью Kaspersky Rescue Disk 10

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/

описание - http://support.kaspersky.ru/viruses/rescuedisk/all

 

после этого сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты
masterlee

masterlee 0

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

Проверил Касперским диск рескью 10. Как я понял, ещё подобная гадость засела в управляющей части диска, что находился в Дюне. Непосредственно та запись, которую винда под себя затачивает на каждом диске, который видит. Опять при комбофиксе проскочил Нотпэд.exe но уже какой-то другой файл в системе. Отчёт прикреплён. Посмотрите пожалуйста и дайте рекомендации по защите от такой гадости.

ComboFix.txt

Ссылка на сообщение
Поделиться на другие сайты
masterlee

masterlee 0

Опубликовано
  • Автор
Опубликовано (изменено)

Всё по нулям, только 2 возмутились:

 

Mac Afee GW Edition - Heuristic.BehavesLike.Win32.Trojan.H

Symantec - WS.Reputation.1

 

И что мне с того? Что можно предпринять-то?

Нормальный файл или всё плохо? 2 из 48 это хорошо или плохо? (4.8%)

Изменено пользователем masterlee
Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\drivers\CTERFXFX.SYS','');
QuarantineFile('c:\windows\system32\notepad.exe','');
QuarantineFile('c:\windows\system32\drivers\*.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Ссылка на сообщение
Поделиться на другие сайты
masterlee

masterlee 0

Опубликовано
  • Автор
Опубликовано

Отправить отправил, но меня это так достало. Решил я поставить чистую систему. Решил использовать новый ZverDVD. Что Вы думаете? На чистой систему решил проверить нотпэд.exe. Как Вы думаете, какой результат? Не поверил бы - на чистую 3 антивира возмутились, но, правда, мало известные мне. Задумался теперь...сейчас решил пока поставить Win7. Как ответ будет от лаборатории, выложу - пока прислали письмо, что мол в процессе. Правда, странно, что на английском всё.

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано (изменено)
Правда, странно, что на английском всё.

это нормально

файлы *.exe изи c:\windows\system32\drivers\ в карантин попали?

Изменено пользователем Roman_Five
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...