[решено] Снова Autorun.inf

Blast · Конфигурация компьютера

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Dokas · Отправлено: **12:50, 09-01-2009** | #3

Через несколько минут выложу

intranet · Конфигурация компьютера

Цитата Dokas:

Autorun.inf »

создай с таким именем папку Autorun.inf и все.
Я себе так зделал на флэшке теперь не какой авторан не лезит как уже 2 месяца

Dokas · Отправлено: **14:15, 09-01-2009** | #5

Немогу найти логи AVZ, программа отсканировала, но ничего не нашла. Если не можете помочь, удаляйте тему.

intranet, дело не в том что она пишет во флэшку, а втом что система тормозит.

Dokas · Отправлено: **15:00, 09-01-2009** | #6

Просканировал еще раз AVZ что -то нашел, скоро выложу логи.

Dokas · Отправлено: **16:27, 09-01-2009** | #7

Логи прикрепил, помогите.

Pili · Отправлено: **18:17, 09-01-2009** | #8

Dokas, Здравствуйте. Не хватает лога hijackthis
Проверьте файлы
C:\Program Files\\Outlook Express\setup50.exe
C:\WINDOWS\system32\drivers\cctrlu.sys
На virustotal.com или virscan.org, ссылку на рез-т проверки выложите.

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe','');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
	
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и сделайте лог hijackthis

Dokas · Отправлено: **20:59, 09-01-2009** | #9

Ок, постараюсь все сделать завтра на работе. Хотя не совсем понял как сделать лог hijackthis. Автозапуск у меня отключен и давно, даже не знаю как могло произойти заражение. Большое спасибо за вашу работу.

Pili · Отправлено: **21:27, 09-01-2009** | #10

Цитата Dokas:

Хотя не совсем понял как сделать лог hijackthis »

Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". С блокноте откроется файл, запакуйте его и вложите в сообщение или выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из окна лога и вставьте в свое сообщение (Ctrl+V)