Перейти к содержанию

Как избавиться от вируса Worm.Win32.AutoRun.fjh [OK]


Рекомендуемые сообщения

Проверка Моего компьютера антивирусом показывает что все чисто, в то же время на флешке

постоянно обнаруживаются вирусы. Сообщение антивируса:Файл J:\autorun.inf, обнаружено: вирус 'Worm.Win32.AutoRun.fjh'. Пользователь: WORKGROUP\ADMIN-7358B02B9$, компьютер:localhost. Также постоянно происходит обращение к флоппи дисководу. Комп притормаживает, наблюдается сбои в работе программ. Пожалуйста помогите!

Прикрепляю логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\vbev5mp.sys','');
DeleteService('vbev5mp');
DeleteFile('C:\WINDOWS\system32\DRIVERS\vbev5mp.sys');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)

Сделайте новые логи c подключенной флэшкой

Ссылка на комментарий
Поделиться на другие сайты

Ваши рекомендации выполнил, после выполнения скриптов в AVZ и перезагрузки антивирус выдает сообщения ( скринштоы во вложении). Суть сообщения " Подозрительное действие: изменился исполняемый файл приложения, запрос запретить или разрешить, Я запрещаю. Правильно ли я делаю?

 

Ответ от newvirus@kaspersky.com

atcInst.exe_, vbev5mp.sys

Вредоносный код в файлах не обнаружен.

svchost.exe_ - Worm.Win32.AutoRun.alrd

Детектирование файла будет добавлено в следующее обновление.

 

Высылаю новые логи c подключенной флэшкой.Спасибо

 

 

 

 

Сообщение от модератора User
Пожалуйста не цитируйте все сообщение, только самое основное, потому что не у всех высокоскоростной интернет

post-10134-1243694517_thumb.jpg

post-10134-1243694549_thumb.jpg

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Attansic\L1\atcInst.exe','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('J:\autorun.exe','');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\autorun.exe');
BC_ImportAll;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_Activate;
RebootWindows(true);
end.

Отошлите карантин на newvirus@kaspersky.com.

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты

Ваш скрипт выполнил.Привожу ответ от newvirus@kaspersky.com: "atcInst.exe_, autorun.inf

 

Вредоносный код в файлах не обнаружен.

 

autorun.exe_ - Worm.Win32.AutoRun.alrd

 

Этот файл определяется антивирусом. Обновите антивирусные базы."

 

Базы обновил, ( хотя до этого обновлял каждый день) прогнал антивирусную проверку.

Выдержка из отчета антивируса:

01.06.2009 15:02:18 Файл D:\RECYCLER\S-1-5-21-1275210071-308236825-839522115-1003\Dd4250\2009-05-26\avz00001.dta, обнаружено: вирус 'Worm.Win32.AutoRun.alrd'.

01.06.2009 15:02:18 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

01.06.2009 15:02:18 Файл D:\RECYCLER\S-1-5-21-1275210071-308236825-839522115-1003\Dd4250\2009-05-26\avz00001.dta не вылечен: обработка отложена пользователем.

01.06.2009 15:02:58 Файл d:\recycler\s-1-5-21-1275210071-308236825-839522115-1003\dd4250\2009-05-26\avz00001.dta, обнаружено: вирус 'Worm.Win32.AutoRun.alrd'.

01.06.2009 15:03:10 Файл d:\recycler\s-1-5-21-1275210071-308236825-839522115-1003\dd4250\2009-05-26\avz00001.dta удален.

Свежие логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis_01_06_09.txt

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe.

Ссылка на комментарий
Поделиться на другие сайты

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты

Проверьте на www.virustotal.com

c:\windows\system32\winlogon.exe

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::

Folder::

Registry::

FileLook::
c:\windows\system32\DRIVERS\vbev5mp.sys
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteStdScr(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

И повторите лог ComboFix.

 

vbev5mp.sys - похож на драйвер AVZ..

Ссылка на комментарий
Поделиться на другие сайты

Высылаю логи.

 

Вчера снова обновил базы AVP, прогнал проверку компьютера.

Ввдержка из отчета:

Заражен: вирус Worm.Win32.AutoRun.alrd c:\program files\microsoft common\svchost.exe 32.5 КБ

Заражен: вирус Worm.Win32.AutoRun.fjh H:\autorun.inf 155 б

После лечения, вирусы на флешке больше не появлялись и флоппи самопроизвольно не трещит.

Комп заметно ускорился, сбои в прграммах не наблюдаются.

ComboFix_log_04_06_09.txt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Combofix-unninstal.JPG

 

Скачайте OTCleanIt, запустите, нажмите Clean up

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Namido
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • nooky910
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • croc_gon
      Автор croc_gon
      Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 
       
      Тип события: Лечение невозможно
      Тип приложения: Kaspersky Endpoint Security для Windows
      Название: avp.exe
      Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
      ID процесса: 18446744073709551615
      Описание результата: Не обработано
      Тип: Троянское приложение
      Название: MEM:Trojan.Win64.ModPlayer.gen
      Пользователь: GONETS\i.zazvonov (Активный пользователь)
      Объект: pmem:\C:\Windows\System32\svchost.exe
      Причина: Пропущено
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
×
×
  • Создать...