Вирус на флешке

[AveN]

Тоже столкнулся с данной проблемой. Принесли флешку, после чего все флешки вставленные в мой компьютер заражаются точно так-же...

 

На корню флешки появляются файлы:

 

~$WPZLMAGJ.FAT

autorun.inf

desktop.ini

Removable Disk (размерGB).lnk

Thumbs.db

 

переформатирование флешки в другую файловую систему (в моём случае в NTFS) расширение первого файла не поменяло.

 

Все данные с корня флешки перемешается в папку без названия. Проверка флешки последней версией Cureit находит вирус только в desktop.ini и удаляет его. При попытки в ручную удалить всё с флешки, удаляется всё кроме autorun.inf который весит 0 байт и не содержит символов внутри...

 

Так же прогонял компьютер через Kaspersky Rescue Disk 10 - ничего не находит.

 

и если у вас сохранился файл ~$WFU.USBDrv из корня заражённой флэшки - проверьтие его на virustotal.com

ссылку на результат проверки приложите.

 

к сожалению сайт выдаёт ошибку.

 

Edit: Сейчас заметил что первый файл поменял название на ~$WFA.FAT

Изменено 14 марта, 2013 пользователем AveN

[Roman_Five]

AveN,

нужны логи по правилам.

[AveN]

Если нигде не ошибся, то вот вроде бы то что нужно:

 

info.txt

 

log.txt

 

virusinfo_syscure.zip

 

virusinfo_syscheck.zip

 

Так же сразу проверил программой TDSSKiller (как там получать логи кроме копирования текста из отчёта не понял, по этому как смог)

 

Проверка по умолчанию TDSSKiller_default_.txt

 

Проверка со всеми галочками TDSSKiller_all_options_.txt

Изменено 15 марта, 2013 пользователем AveN

[thyrex]

Выполните скрипт в AVZ

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msvaapf.bat','');
DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msvaapf.bat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','56887');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "По просьбе хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Сделайте новые логи

[AveN]

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-689679189]

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

 

msvaapf.bat - Trojan-Ransom.Win32.PornoAsset.ccvn

 

Детектирование файла будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

Это пока всё что пришло.

[Денис-НН]

Повторите все логи, не дожидаясь ответа.

[AveN]

Повторите все логи, не дожидаясь ответа.

 

info.txt

 

log.txt

 

virusinfo_syscure.zip

 

virusinfo_syscheck.zip

 

TDSSKiller__all_Option_.txt

[Roman_Five]

Пофиксите в Hijackthis:

O4 - HKLM\..\Policies\Explorer\Run: [56887] C:\PROGRA~3\LOCALS~1\Temp\msvaapf.bat

 

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msvaapf.bat','');
DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msvaapf.bat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','56887');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

На корню флешки появляются файлы:

что с этой проблемой?

 

делайте новые логи.

[AveN]

Пофиксите в Hijackthis:

O4 - HKLM\..\Policies\Explorer\Run: [56887] C:\PROGRA~3\LOCALS~1\Temp\msvaapf.bat

 

что с этой проблемой?

 

делайте новые логи.

 

в AVZ скрипт выполнен. В ХайДжеке такой строчки не нашёл, как добавить в ручную не догнал...

 

насчёт проблемы с флешкой, всё по прежнему, именно по этому я тут, другие пакости меня не беспокоят....

 

Друг принёс программку ComboFix, запустился, пролечил. Всё проблемы с флешкой больше нету.

 

Программка сделала свои логи:ComboFix.txt

[Roman_Five]

Всё проблемы с флешкой больше нету.

ваш виновник - что-то из этого:

c:\windows\pkunzip.pif
c:\windows\pkzip.pif
D:\install.exe

 

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up