Вирус сделал ярлыки на флешке
 

Доброго вам здоровья! Уже 4час бьюсь с этой гадостью, перепробовал все, что можно, но ни один антивирус (Dr.Web CureIt, AVZ, касперский) не видит этот вирус в папке RECYCLE. Прочитал такую же тему, сделал зайцевым архив карантин по скрипту. Вот та тема: http://forum.oszone.net/thread-216226.html
Отправил архив с карантином, надеюсь поможете...уже голову сломал, весь реестр излазил.

Выложите логи в соответствии с этими инструкциями.

Вот что-то удалось.....
уже все вычистил в реестре, оно все равно там появляется в разделе RUN....уже мозг кипит как чайник китайский

Файл virusinfo_cure.zip удалите из сообщения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Microsoft Windows XP Professional Service Pack 2 - такую дырявую систему лечить бесполезно, скачайте и установите Пакет сетевой установки пакета обновления 3 (SP3) для ОС Windows XP может потребоваться повторная активация

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Ух ты,сколько полезной информации. Спасибо, я вечером дома это все сделаю, а пока такой вопрос....сервис пак 2 настолько слаб по сравнению с 3? Есть ли вероятность, что 3пак тоже поймает вирус?

Необходимо вообще поставить все обновления, чтобы исключить пути проникновения зловредов через известные уязвимости.

Вероятность всегда есть, но снизить ее возможно))

ага...понял. У меня стоит уже изначально активированная версия винды. 3пак придется активировать как-то? Когда лучше 3пак поставить, после очистки от вируса? Еще не понятно, там по ссылке написано мол не жать загрузку, если обновление требуется на 1пк...

Сейчас уже надо SP2 не поддерживается центром обновлений

Если система лицензия, то скорее всего никак, обсуждение же нелицензионного софта запрещено правилами форума.

Все понял. Спасибо. Тогда до вечера, вечером буду действовать.

В течение дня родился еще один вопрос. Hdd разбит на два: C и D. Может есть смысл проштудировать и диск D, а то вдруг вирус еще там окопался?

Это для чего указано думаете?

Доброго вечера. По вашим советам все сделал, скрипты, логи. Скрипт дали суперский, он видел вирус и отменил авторан со сьемных носителей.

Повторите сканирование в MBAM если его закрыли и удалите только следующие объекты:


Как самочувствие системы?

Сканирование выполнял в безопасном режиме около часа, т.к. в обычном произошла какая-то ошибка. Вручную может шарахнуть или все же через MBAM?
В реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run перестала выползать гадость с окончанием .ехе, до скрипта была аж в двух вариантах. Вчера я ее удалял, но после перезагрузки появлялась вновь, сейчас не появляется....флешку боюсь вставлять))))))
Да,и если в MBAM, то номер 1 на диске С?

Можете и так шарахнуть, если опыта хватит ветку реестра удалить.

Флешку подключайте без боязни, автозапуск мы отключили, но ничего не ней не запускайте те же самые ярлыки вместо папок ведут к запуску червя.

Скопируйте следующий текст в Блокнот и сохраните, как run.cmd:

скопируйте файл run.cmd в корень флешки и запустите

Внимание не запускайте этот файл, когда он находится на жестком диске

С реестром я немного дружу. По поводу ярлыков я уже в курсе, еще до регистрации на форуме прочитал на разных сайтах. Нус, щас продолжу....
Так, из реестра вебальта не удаляется. Пишет ошибка при удалении. Я эту вебальту убил еще пол года назад, вместе с smaxxi.biz и еще чем-то, этож навязчивый поисковик, но он уничтожен и вообще занес в черные списки браузеров, может просто хвост остался...

Давайте тогда часть хвостов сейчас еще подчистим:

Сделайте 3 лога:

HiJackThis - http://forum.oszone.net/thread-177677.html

Далее:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Далее:

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

С хвостами безоговорочно продолжим.
Нус, щас продолжу по русскилу....
И так:
Флешка номер раз на 256мб. Обнаружена зловредная папка ресайкл с ее ярлыком, видимо со вчерашнего дня остаток, обоих снес в пыль. КМДфайлик остался, который скидывает параметры папок (о чем вы писали выше).
Флешка номер два на 2Гб. Все тоже самое, остатки этой дряни, порезали насмерть. Заветный файлик кмд будет жить и на ней дальше, а то малоли.
Флешка номер три на 4Гб. А нету хвостов. Ей повезло больше всех вчера, т.к. один раз снес ресайкл с бактерией и больше на нее не попало. Кмд файл оставлю жить и там.
Примечательно, что MBAM в упор не видит вирус "бэкдор.вин32.русскилл", впрочем как и зайцев, доктор веб куреит, аваст итд...А это не есть хорошо. Ну зайцеву я отправил конечно вирус на изучение, посмотрим, что будет в будущем. В инете где-то писали, что KIS вроде как видит вируса этого и даже справляется с ним. Одно могу сказать, похоже вирус убит вашим скриптом для Зайцева! В чем его секрет?
P.S. Еще примечательно, что открываются страницы антивирей, сейчас качну хайджек и будем чистить хвосты :-)

то что не видно на автомате - видно глазами. Не беспокойтесь, по вирлабам ваш файл разослал, на днях добавят.

Касперский действительно его знает, ну и у меня на домашнем компе Norton его сразу прибил)))

Просто я имел в виду, что этот скрипт надо же как-то было создать? Наверное есть смысл докинуть его в авз, чтоб был как инструмент в случае чего. Кстати, русс.килл еще не позволяет сделать отключение флешки, он ее занимает просто.
Я пока тут разбираюсь с хайджеком и остальным, можете ли посоветовать, какой антивир поставить для реального времени, а то я аваст поставил и не знаю даже...лучшебы что поэффективнее конечно, ну и файерволл какой? у меня сейчас стоит kah 1.9.4.0 на инглише без перевода, атаки отражает вроде.

Знаете, за не особо долгое, но продуктивное времяпровождение на форумах лечения я видел и лечил злонамеренные программы на системах с совершенно разными антивирусами - так что антивирус не самый главный хотя и важный помощник защиты ОС. Намного важнее - это настройки и обновление системы и установленных программ. Одну настройку по отключению автозапуска с флеш-накопителей мы уже сделали - это уже важный шаг. Об остальном - после окончания лечения.

Хорошо. Вот логи.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Далее:

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  
  Код:

  ---

  :processes
:OTL
SRV - (Ws2vcnte) --  File not found
DRV - (XDva397) -- C:\WINDOWS\system32\XDva397.sys File not found
DRV - (XDva394) -- C:\WINDOWS\system32\XDva394.sys File not found
DRV - (XDva393) -- C:\WINDOWS\system32\XDva393.sys File not found
DRV - (XDva391) -- C:\WINDOWS\system32\XDva391.sys File not found
DRV - (PROCEXP151) -- C:\WINDOWS\system32\Drivers\PROCEXP151.SYS File not found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=falco&s={searchTerms}&f=4
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
[2011.12.28 00:39:07 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini

:Services
LEGACY_WEBALTASERVICE
:Files


ipconfig /flushdns /c

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE]

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]

  ---

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

лог

Вот и удалился ключик.

Проверимся на уязвимости:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

Далее можете начинать удалять утилиты которые мы использовали, вот так:

http://safezone.cc/forum/showthread.php?t=19966

Security Check by glax24 version 0.1.5.48 rc1
WebSite: www.safezone.cc
DataLog 20.12.2012 00:07:20
Program directory: C:\Documents and Settings\Jensen_C\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lan:0419
Service Pack 2 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky Anti-Hacker
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.7.0.1474.0
Kaspersky Anti-Hacker v.1.9.4
-------------OtherUtilities-----------------------
HijackThis 2.0.2 v.2.0.2
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AppleProduction----------------------
QuickTime v.7.72.80.56 Внимание! Скачать обновления
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.278 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.2.202.235 Внимание! Скачать обновления
Adobe Reader 7.0.5 - Russian v.7.0.5 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Opera 11.61 v.11.61.1250 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.11.61.1250.0
-------------EndLog-------------------------------






P.s.может стоит оставить утилиты?

Скачал я sp3 по вашей ссылке. После установки на много больше весить будет виндоус? придется ли переставлять какие-то программы?

Можете скачать заново и оставить в архивах.

Пройдите по ссылкам из своего поста и скачайте и установите все обновления.далее смените все важные пароли, червь имеет функционал для их кражи:

http://www.microsoft.com/security/po...0A%09%09%09%09


Как самочувствие системы?

Паролей нету, я не сохраняю....нет привычки. По поводу sp3 подскажете? я напишу в личку.
Система вроде в норме, ярлыков на флешке более нету.

Ознакомьтесь с этими рекомендациями:

http://forum.oszone.net/post-1838507-9.html

Огромное спасибо за помощь! буду обновляться. Тему только не прикрывайте, а то у меня бывает много вопросов :)

Доброго вам здоровья! Теперь я SP3. Но загружаться стал медленнее...компьютер работал сутки, добавлял акронисом место диску С от другого раздела, на это ушло 15часов(.......благо все прошло гладко.
В менеджере автозапуска avz есть файлы помеченые черным, а не зеленым. Что они означают? прикладываю скриншот.
Есть подозрение, что это хвосты...особое внимание обратил на MsSip.dll в трех видах (1,2,3 соответственно).

это легальные файлы пустышки (точней записи о файлах в реестре).

Так что всё нормально :).

Спасибо.
Задумал я тут KIS поставить и не знаю, какую версию выбрать...............

Последнюю

Доброго вам здоровья!
Хочу вернуться к скрипту, который мне писали на 1странице. Хочу выделить из этого скрипта 2 других скрипта: отключение автозапуска "строго только флеш-карт usb", чтоб авторан CD/DVD работал, в основном для двд-фильмов, а второй скрипт на удаление хвостов наверноеЮ ибо после запуска вчера этого скрипта на диске C освободилось некоторое место. Предварительно удалил из него инфу о старых вирусах. Жирным выделил моменты, функция которых мне не ясна. Помогите сделать из того, что ниже 2 грамотных скрипта: откл авторан usb flash и видимо чистка с чем-то еще, не успел уловить в процессе выполнения...

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Для всего остального каждый случай универсальный. создавайте тему - вылечим :).

для очистки мусора с компа, может использовать Файл - Мастер поиска и устранения проблем.

Да лечить то вроде нечего. Просто хотел узнать по выделенному жирным. Что означает каждая строка. Темы плодить не хочется..

Что означают команды в скрипте ? - перейдите по ссылке и узнаете