Как избавиться от вируса Worm.Win32.AutoRun.fjh [OK]

[rif0269]

Проверка Моего компьютера антивирусом показывает что все чисто, в то же время на флешке

постоянно обнаруживаются вирусы. Сообщение антивируса:Файл J:\autorun.inf, обнаружено: вирус 'Worm.Win32.AutoRun.fjh'. Пользователь: WORKGROUP\ADMIN-7358B02B9$, компьютер:localhost. Также постоянно происходит обращение к флоппи дисководу. Комп притормаживает, наблюдается сбои в работе программ. Пожалуйста помогите!

Прикрепляю логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\vbev5mp.sys','');
DeleteService('vbev5mp');
DeleteFile('C:\WINDOWS\system32\DRIVERS\vbev5mp.sys');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)

Сделайте новые логи c подключенной флэшкой

[rif0269]

Ваши рекомендации выполнил, после выполнения скриптов в AVZ и перезагрузки антивирус выдает сообщения ( скринштоы во вложении). Суть сообщения " Подозрительное действие: изменился исполняемый файл приложения, запрос запретить или разрешить, Я запрещаю. Правильно ли я делаю?

 

Ответ от newvirus@kaspersky.com

atcInst.exe_, vbev5mp.sys

Вредоносный код в файлах не обнаружен.

svchost.exe_ - Worm.Win32.AutoRun.alrd

Детектирование файла будет добавлено в следующее обновление.

 

Высылаю новые логи c подключенной флэшкой.Спасибо

 

 

 

 

Сообщение от модератора User

Пожалуйста не цитируйте все сообщение, только самое основное, потому что не у всех высокоскоростной интернет

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Attansic\L1\atcInst.exe','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('J:\autorun.exe','');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\autorun.exe');
BC_ImportAll;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_Activate;
RebootWindows(true);
end.

Отошлите карантин на newvirus@kaspersky.com.

 

Сделайте новые логи.

[rif0269]

Ваш скрипт выполнил.Привожу ответ от newvirus@kaspersky.com: "atcInst.exe_, autorun.inf

 

Вредоносный код в файлах не обнаружен.

 

autorun.exe_ - Worm.Win32.AutoRun.alrd

 

Этот файл определяется антивирусом. Обновите антивирусные базы."

 

Базы обновил, ( хотя до этого обновлял каждый день) прогнал антивирусную проверку.

Выдержка из отчета антивируса:

01.06.2009 15:02:18 Файл D:\RECYCLER\S-1-5-21-1275210071-308236825-839522115-1003\Dd4250\2009-05-26\avz00001.dta, обнаружено: вирус 'Worm.Win32.AutoRun.alrd'.

01.06.2009 15:02:18 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

01.06.2009 15:02:18 Файл D:\RECYCLER\S-1-5-21-1275210071-308236825-839522115-1003\Dd4250\2009-05-26\avz00001.dta не вылечен: обработка отложена пользователем.

01.06.2009 15:02:58 Файл d:\recycler\s-1-5-21-1275210071-308236825-839522115-1003\dd4250\2009-05-26\avz00001.dta, обнаружено: вирус 'Worm.Win32.AutoRun.alrd'.

01.06.2009 15:03:10 Файл d:\recycler\s-1-5-21-1275210071-308236825-839522115-1003\dd4250\2009-05-26\avz00001.dta удален.

Свежие логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis_01_06_09.txt

[Alex56]

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe.

[rif0269]

GMER запустился сразу выскочило сообщение скриншот прилагается, сохраненный лог тоже.

02_06_09.log

[akoK]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[rif0269]

Все выполнил, отчеты прилагаю.

ComboFix.txt

Report.txt

[akoK]

Проверьте на www.virustotal.com

c:\windows\system32\winlogon.exe

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::

Folder::

Registry::

FileLook::
c:\windows\system32\DRIVERS\vbev5mp.sys
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[rif0269]

Отчет ComboFix и ответ от scan@virustotal.com

log.txt

scan_virustotal.com.txt

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteStdScr(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

И повторите лог ComboFix.

 

vbev5mp.sys - похож на драйвер AVZ..

[rif0269]

Высылаю логи.

 

Вчера снова обновил базы AVP, прогнал проверку компьютера.

Ввдержка из отчета:

Заражен: вирус Worm.Win32.AutoRun.alrd c:\program files\microsoft common\svchost.exe 32.5 КБ

Заражен: вирус Worm.Win32.AutoRun.fjh H:\autorun.inf 155 б

После лечения, вирусы на флешке больше не появлялись и флоппи самопроизвольно не трещит.

Комп заметно ускорился, сбои в прграммах не наблюдаются.

ComboFix_log_04_06_09.txt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[rif0269]

Все сделал. На этом лечение можно считать законченным?