Заражение флешки и нетбука

[Blood_Rain_X]

Здравствуйте!

 

Все началось с того, что у сестры пропали файлы с ее флешки. Была догадка, что они были случайно отформатированы после обнаружения какого-то вируса на совершенно незнакомом мне ПК, в который была вставлена флешка. Однако, когда я вставил свою (другую) флешку уже в свой домашний ПК, то обнаружил, что антивирус начал что-то кричать про autorun и удалять папки с файлами. Немного покопавшись в антивирусе (eset) смог восстановить эти папки обратно на флешку, но теперь они стали отображаться со значком ярлыка и ссылаются на C\Windows\system32. После того как я достал эту флешку и вставил ее уже в нетбук (который, разумеется, тоже заразился) оказалось, что эти папки с "ярлыками" на нем прекрасно открываются => выходит это обычные папки-мутанты. Как итог: заражены 2 флешки, домашний ПК и нетбук.

 

Сейчас я не дома и при себе имею только нетбук и свою флешку, которые хотелось бы очистить от этой заразы. Через, примерно, недельку буду дома и тогда уже выложу результаты всех скриптов на домашнем ПК.

Хотелось бы сохранить всю информацию в зараженных папках на флешке.

 

Из сбоев в работе Windows сейчас наблюдается:

1)не запускается календарь при двойном щелчке по часам;

2)каждые 5 секунд всплывают желтые предупреждения в виде щита от брандмауэра и удаляются при наведении на них мышкой (даже без вставленной флешки);

3)не запускается очистка диска;

4)не наблюдаю панели управления (в пуске была же вроде, сейчас исчезла о_о)

 

Другая информация:

ОС - Windows XP

Антивирус - полумертвый ESET Smart Security 5

 

Выполнил скрипт:

begin

ExecuteWizard('SCU', 2, 2, true);

end

 

Все скрипты выполнял со вставленной флешкой и отмечал ее для проверки в AVZ.

 

Спасибо!

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Acer\Application Data\078b0\*','');
QuarantineFile('D:\0707\*','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf');
DeleteFileMask('D:\0707\','*', true);
DeleteDirectory('D:\0707\',' ');
DeleteFileMask('C:\Documents and Settings\Acer\Application Data\078b0\','*',true );
DeleteDirectory('C:\Documents and Settings\Acer\Application Data\078b0\',' ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','11');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

[Blood_Rain_X]

Решилась проблема с желтыми щитами, больше не всплывают.

 

Но календарик все также не запускается, панель управления тоже не появилась, а при попытки запустить через мой компьютер "просмотр сведений о системе" выдает две одинаковые всплывающие ошибки под названием Ограничения, как и в случае с календарем: Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети.

 

Папки на флешки остались подобны ярлыкам со ссылкой на system32 и при открытии любой папки всплывает ошибка Windows Script Host c содержанием: не удается найти файл сценария D\0707\i1a1.js.

Я так понимаю, следует просто скопировать куда-то все содержимое этих папок и отформатировать флешку?

 

Архив с карантином не наблюдаю в папке AVZ. Не мог он удалиться после стандартных скриптов?

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Сделайте лог ComboFix

[Blood_Rain_X]

Готово

ComboFix.txt

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

DirLook::
c:\documents and settings\Acer\Application Data\078b0
c:\program files\1883

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Изменено 27 июня, 2013 пользователем akoK

[Blood_Rain_X]

Новый лог. Выполнял ComboFix без вставленной флешки.

Все заработало: календарик, панель управления и тд

 

На флешке с папками-ярлыками как быть, про которые в 3 сообщении писал? Скинуть информацию и отформатировать?

ComboFix.txt

Изменено 27 июня, 2013 пользователем Blood_Rain_X

[thyrex]

Удалите папки

c:\documents and settings\Acer\Application Data\078b0
c:\program files\1883

 

Откройте содержимое флешки в Total Commander (с включенной в его настройках опцией показа скрытых и системных файлов). Вы должны увидеть настоящие папки, скрытые вирусом. Это так?

[Blood_Rain_X]

Прошу прощения за задержку.

Папки удалил. Да, вижу скрытые папки в Total Commander, среди них вирусная папка "0707".

 

P.S. Сегодня чуть позднее еще скину логи с пк и второй флешки.

Изменено 5 июля, 2013 пользователем Blood_Rain_X

[thyrex]

Да, вижу скрытые папки в Total Commander

Измените атрибуты через меню Файлы-Изменить атрибуты в Total Commander

[Blood_Rain_X]

Готово. Ярлыки с папкой 0707 можно удалять? Папку System Volume Information раньше не видел, я так понимаю, что она нужна и ее можно просто скрыть?

[thyrex]

Ярлыки с папкой 0707 можно удалять?

Да

 

Папку System Volume Information раньше не видел, я так понимаю, что она нужна и ее можно просто скрыть?

Она и так скрытая системная