Вирусы на флешьке от телефона

[dan-1]

Привет всем.

Давно телефон не ставил в ПК. Тут подключил через юсб, чтобы фотки скинут. Касперский обнаружил Worm.Win32.AutoRun.hmw, потом я увидел что все папки стали ярлыками я запустил и АВ обнаружил Trojan-Downloader.Win32.Agent.tgzg.

Теперь с компа не могу открыть папки, которые ярлыки. И при открытии опять появляется вирус, который АВ сразу детектит.

Что делать?

 

логи позже будут

Изменено 20 октября, 2011 пользователем dan-1

[Денис-НН]

Что делать?

Да собственно одно - выполнять правила http://forum.kasperskyclub.ru/index.php?showtopic=31551

[dan-1]

Вот логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Tiare]

Теперь с компа не могу открыть папки, которые ярлыки. И при открытии опять появляется вирус, который АВ сразу детектит.

Эти папки находятся на флешке от телефона? Покажите отчет Касперского при обнаружении данной угрозы.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\Temp\TS_6E11.tmp','');
QuarantineFile('C:\Windows\Temp\TS_62F2.tmp','');
QuarantineFile('c:\windows\kmsem\kmservice.exe','');
QuarantineFile('C:\Program Files\Ralink\Common\RaMediaServer.exe','');
QuarantineFile('c:\program files\usb safely remove\usbsrservice.exe','');
DeleteFile('C:\Windows\Temp\TS_62F2.tmp');
DeleteFile('C:\Windows\Temp\TS_6E11.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

 

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Исправлять будем? Это серьезная уязвимость для вашей системы.

 

 

 

Удалите временные файлы. Можете это сделать вручную или так:

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

 

Не по вашей проблеме, но обратите внимание

Сообщение: Обнаружена ошибка на устройстве \Device\Harddisk5\DR5 во время выполнения операции страничного обмена.

Изменено 22 октября, 2011 пользователем Tiare

[dan-1]

траян появляется сразу после нажатия по ярлыку, который вместо папки.

Всё сделал до пункта отправки файла Quarantine.zip, остальное потом, щас пока времени нет

 

после выполнения скриптов визуально ничего не изменилось

[thyrex]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

[Tiare]

dan-1, покажите отчет Касперского таким образом, чтобы был виден полностью путь до проблемного файла (папки). Можете сохранить отчет как текстовой файл и прикрепить его к вашему сообщению.

[dan-1]

Вот снимок

 

PS

Malwarebytes' Anti-Malware'ом пока проверяю

[Tiare]

"К" - это буква, под которой определяется ваша проблемная флешка, так?

 

 

А вы логи готовили с подключенной проблемной флешкой?

 

 

 

Рекомендую отключить автозапуск с сетевых дисков и со сменных носителей, т.к. то что мы видим на скриншоте - это и есть автозапуск зловреда при подключении зараженной флешки к компьютеру.

 

 

Дождитесь окончания сканирования MBAM (не забудьте сохранить отчет о работе программы)

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

 

После этого подготовьте новые логи с подключенной флешкой.

Изменено 23 октября, 2011 пользователем Tiare

[dan-1]

Да, К это буква флешки.

все манипуляции проводил с подключенной флешькой.

 

Пока приостановим лечение, тк я не дома.

Или можно подключить флешьку к другому ПК и сделать логи и отчёты?

[thyrex]

Нет, нужно все делать на домашнем

[dan-1]

Можно на другом ПК всё проверить, совсем не удобно когда в телефоне одни ярлычки.

[Tiare]

Можно на другом ПК всё проверить, совсем не удобно когда в телефоне одни ярлычки.

 

Если хотите проверять на другом компьютере, тогда создавайте новую тему и готовьте новые логи по правилам раздела.