glafira37 0 Опубликовано 5 августа, 2013 Share Опубликовано 5 августа, 2013 Добрый вечер! Вирус был подцеплен на другом компьютере и принесен на флэшке. На пораженной флэшке папки превратились в ярлыки, если на них кликнуть, то открывается новое окно с содержимым папки и срабатывает защита Касперского. Сообщает, что обнаружены вредоносные ПО (Troian generic), пытающиеся зарегистрироваться для последующего автозапуска. Выполняем откат. Сообщает, что откат успешно произведен. Все диски компьютера были проверены Касперским с использованием свежей базы вирусов свежие от 01.08.2013, в результате - сообщение - вирусов нет. Антивирус Касперского (лицензионный) сообщил об удалении троянов, но на самом деле в отчете видны вредоносные файлы с флэшки, против которых программа Касперского ставит ОК и снова защита Касперского срабатывает при клике на ярлык папки на флэшке (ярлыки со странными адресами (например : %comspec% /C START wscript.exe 2d2d2\i3030.js &Start explorer.exe "папка 01"). На компьютере в меню ПУСК пропало «Панель управления», запрещен доступ к изменению свойств папок, настроек рабочего стола, в том числе к отключению сетевого экрана, любая новая флэшка тут же заражается «ярлычной» болезнью. После лечения при помощи Dr.Web CureIt! на флэшках исчезли ярлыки, видны только автораны, но в свойствах флэшки я вижу загрузку флэшки в несколько мега. Флэшка после форматирования снова получает авторан с компа со свеженькой – до минуты- датой создания. Поражено два компа и три флэшки. Посылаю для первого, для второго нужно будет отдельно послать? Спасибо за помощь! virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 августа, 2013 Share Опубликовано 5 августа, 2013 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('D:\autorun.inf',''); QuarantineFile('J:\autorun.inf',''); QuarantineFile('J:\2d2d2\g3c.js',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\2d\3b323.js',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\2d\3b323.js','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3b323'); DeleteFile('J:\2d2d2\g3c.js','32'); DeleteFile('J:\autorun.inf','32'); DeleteFile('D:\autorun.inf','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Обновите базы AVZ Сделайте новые логи По второму компьютеру создайте отдельную тему Цитата Ссылка на сообщение Поделиться на другие сайты
glafira37 0 Опубликовано 5 августа, 2013 Автор Share Опубликовано 5 августа, 2013 Спасибо! Оба скрипта запустила, запрос на вредоносный вирус отправила. Базу обновила. Новые логи Вам сюда отправить? Про второй комп завтра с утра. До свидания! virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 августа, 2013 Share Опубликовано 5 августа, 2013 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
glafira37 0 Опубликовано 6 августа, 2013 Автор Share Опубликовано 6 августа, 2013 Автомат ил Лаб. Касперского сгенерировал ответ .... 3b323.js, autorun.inf These files are in process. Best Regards, Kaspersky Lab. ..... Автораны с флэшек исчезли, но содержимое их не видно. Восстановление системы было проведено неудачно (ручки корячные), поэтому панель управления не появилась. Придется переустанавливать Windows PC? Второй комп уже второй час на проверке Dr.Web. По завершении все пришлю в новой теме. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 августа, 2013 Share Опубликовано 6 августа, 2013 В Total Commander с включенной в его настройках опцией показа скрытых и системных файлов пропавшая информация видна? Цитата Ссылка на сообщение Поделиться на другие сайты
glafira37 0 Опубликовано 6 августа, 2013 Автор Share Опубликовано 6 августа, 2013 У меня нет Total Comander Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 августа, 2013 Share Опубликовано 6 августа, 2013 Скачайте и установите Цитата Ссылка на сообщение Поделиться на другие сайты
glafira37 0 Опубликовано 6 августа, 2013 Автор Share Опубликовано 6 августа, 2013 В Total Commander тоже не видно. Но вот сейчас записала парочку файлов и папок на флэшки - их видно и в Total Commander и в окне Windows. Отформатировала флэшки - показывает, что занято на одной 8, на другой 4 Кб. Это нормально? Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 6 августа, 2013 Share Опубликовано 6 августа, 2013 (изменено) Скачайте и установите долго думал, написать или нет. но решился, хотя это и нарушает правила. родной сайт программы (от разработчика. на нерусском языке) http://www.ghisler.com/ сдесь прямые ссылки на скачивание сайт поклонников программы (от её фанатов, на русском языке) http://wincmd.ru/ PS повинную голову прошу не сечь, данная информация позволит топикстартеру не качать программу где попало, с чем попало Изменено 6 августа, 2013 пользователем kmscom Цитата Ссылка на сообщение Поделиться на другие сайты
glafira37 0 Опубликовано 6 августа, 2013 Автор Share Опубликовано 6 августа, 2013 Нашла еще одну покалеченную флэшку, пролечила ее с помощью Dr.Web. Действительно, в Total Commander с включенной в его настройках опцией показа скрытых и системных файлов видно все содержимое флэшки - и ярлыки и папки. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 августа, 2013 Share Опубликовано 6 августа, 2013 Ну вот видите На этом компьютере проблема исчерпана? Цитата Ссылка на сообщение Поделиться на другие сайты
glafira37 0 Опубликовано 6 августа, 2013 Автор Share Опубликовано 6 августа, 2013 Пожалуй что да, Windows только переустановить придется. Спасибо Вам за участие! А второй уже на подходе Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.