Blood_Rain_X 0 Опубликовано 26 июня, 2013 Share Опубликовано 26 июня, 2013 Здравствуйте! Все началось с того, что у сестры пропали файлы с ее флешки. Была догадка, что они были случайно отформатированы после обнаружения какого-то вируса на совершенно незнакомом мне ПК, в который была вставлена флешка. Однако, когда я вставил свою (другую) флешку уже в свой домашний ПК, то обнаружил, что антивирус начал что-то кричать про autorun и удалять папки с файлами. Немного покопавшись в антивирусе (eset) смог восстановить эти папки обратно на флешку, но теперь они стали отображаться со значком ярлыка и ссылаются на C\Windows\system32. После того как я достал эту флешку и вставил ее уже в нетбук (который, разумеется, тоже заразился) оказалось, что эти папки с "ярлыками" на нем прекрасно открываются => выходит это обычные папки-мутанты. Как итог: заражены 2 флешки, домашний ПК и нетбук. Сейчас я не дома и при себе имею только нетбук и свою флешку, которые хотелось бы очистить от этой заразы. Через, примерно, недельку буду дома и тогда уже выложу результаты всех скриптов на домашнем ПК. Хотелось бы сохранить всю информацию в зараженных папках на флешке. Из сбоев в работе Windows сейчас наблюдается: 1)не запускается календарь при двойном щелчке по часам; 2)каждые 5 секунд всплывают желтые предупреждения в виде щита от брандмауэра и удаляются при наведении на них мышкой (даже без вставленной флешки); 3)не запускается очистка диска; 4)не наблюдаю панели управления (в пуске была же вроде, сейчас исчезла о_о) Другая информация: ОС - Windows XP Антивирус - полумертвый ESET Smart Security 5 Выполнил скрипт: begin ExecuteWizard('SCU', 2, 2, true); end Все скрипты выполнял со вставленной флешкой и отмечал ее для проверки в AVZ. Спасибо! virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 26 июня, 2013 Share Опубликовано 26 июня, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\Acer\Application Data\078b0\*',''); QuarantineFile('D:\0707\*',''); QuarantineFile('D:\autorun.inf',''); DeleteFile('D:\autorun.inf'); DeleteFileMask('D:\0707\','*', true); DeleteDirectory('D:\0707\',' '); DeleteFileMask('C:\Documents and Settings\Acer\Application Data\078b0\','*',true ); DeleteDirectory('C:\Documents and Settings\Acer\Application Data\078b0\',' '); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','11'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Blood_Rain_X 0 Опубликовано 26 июня, 2013 Автор Share Опубликовано 26 июня, 2013 Решилась проблема с желтыми щитами, больше не всплывают. Но календарик все также не запускается, панель управления тоже не появилась, а при попытки запустить через мой компьютер "просмотр сведений о системе" выдает две одинаковые всплывающие ошибки под названием Ограничения, как и в случае с календарем: Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети. Папки на флешки остались подобны ярлыкам со ссылкой на system32 и при открытии любой папки всплывает ошибка Windows Script Host c содержанием: не удается найти файл сценария D\0707\i1a1.js. Я так понимаю, следует просто скопировать куда-то все содержимое этих папок и отформатировать флешку? Архив с карантином не наблюдаю в папке AVZ. Не мог он удалиться после стандартных скриптов? log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 июня, 2013 Share Опубликовано 26 июня, 2013 Сделайте лог ComboFix Цитата Ссылка на сообщение Поделиться на другие сайты
Blood_Rain_X 0 Опубликовано 26 июня, 2013 Автор Share Опубликовано 26 июня, 2013 Готово ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 27 июня, 2013 Share Опубликовано 27 июня, 2013 (изменено) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. DirLook:: c:\documents and settings\Acer\Application Data\078b0 c:\program files\1883 После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Изменено 27 июня, 2013 пользователем akoK 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Blood_Rain_X 0 Опубликовано 27 июня, 2013 Автор Share Опубликовано 27 июня, 2013 (изменено) Новый лог. Выполнял ComboFix без вставленной флешки. Все заработало: календарик, панель управления и тд На флешке с папками-ярлыками как быть, про которые в 3 сообщении писал? Скинуть информацию и отформатировать? ComboFix.txt Изменено 27 июня, 2013 пользователем Blood_Rain_X Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 июня, 2013 Share Опубликовано 27 июня, 2013 Удалите папки c:\documents and settings\Acer\Application Data\078b0 c:\program files\1883 Откройте содержимое флешки в Total Commander (с включенной в его настройках опцией показа скрытых и системных файлов). Вы должны увидеть настоящие папки, скрытые вирусом. Это так? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Blood_Rain_X 0 Опубликовано 5 июля, 2013 Автор Share Опубликовано 5 июля, 2013 (изменено) Прошу прощения за задержку. Папки удалил. Да, вижу скрытые папки в Total Commander, среди них вирусная папка "0707". P.S. Сегодня чуть позднее еще скину логи с пк и второй флешки. Изменено 5 июля, 2013 пользователем Blood_Rain_X Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 июля, 2013 Share Опубликовано 5 июля, 2013 Да, вижу скрытые папки в Total Commander Измените атрибуты через меню Файлы-Изменить атрибуты в Total Commander Цитата Ссылка на сообщение Поделиться на другие сайты
Blood_Rain_X 0 Опубликовано 5 июля, 2013 Автор Share Опубликовано 5 июля, 2013 Готово. Ярлыки с папкой 0707 можно удалять? Папку System Volume Information раньше не видел, я так понимаю, что она нужна и ее можно просто скрыть? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 июля, 2013 Share Опубликовано 5 июля, 2013 Ярлыки с папкой 0707 можно удалять? Да Папку System Volume Information раньше не видел, я так понимаю, что она нужна и ее можно просто скрыть? Она и так скрытая системная Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.