Змінюй хід війни! Допомагай ЗСУ!

Помогите с вирусом

🟢 6:07 Відбій повітряної тривоги
  • Автор теми Автор теми @ZhEk@
  • Дата створення Дата створення

@ZhEk@

@ZhEk@
Статус: Офлайн
Реєстрація: 11.05.2007
Повідом.: 207
Помогите с вирусом

Вчера наконец то вернули мне мою флешку которая у одногруппника местного была. Вернули естественно с подарком :) Три файла: autorun.inf q0dhfjf.exe gyn.cmd
Ну то что это вирус я понял сразу, а вот каспер 7.0.1.325 с последними базами не догадался :( Проверял флешку на соседнем компе с нодом...так он сцуко видит его...червяк какой то PSW.Online.Games
Вобщем в результате у меня все диски открываются в новом окне, не видно скрытых файлов и каспер перестал базы обновлять:confused:
Кто с таким сталкивался и как с ним бороться ? Вариант поставить нод наверное отпадает, т.к. скорее всего вирусяка и ему обновление баз обрубит :)
 
каким боком вирусы относятся к железу?) Потому что ты его на флешке принёс?)
Ну а по теме:
устанавливаешь какойнить шелл, советую far Посилання видалено
качаешь avz Посилання видалено
обновляешь avz
запускаешь avz, far и taskmanager
убиваешь exlpore.exe и все iexplore.exe, убиваешь загадочные процессы из многобукв типа q0dhfjf.exe или gyn.cmd
потом в far заходишь на каждый диск и флешки и ручками убиваешь все прописанные файлы в autorun(F3 in far) и все в конце сам авторан, учти на каждом диске содержимое может отличаться
потом переключайся на avz
и в нём выбери выполнить скрипт

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe','');
QuarantineFile('C:\WINDOWS\Installer\263d3.msi','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

после ребута запусти проверки из AVZ

Зы CLSID и имя файлов может менятся в зависимости от версии вредоноски

Зы2 если таки не помогло, то повторяешь все действия заново, только после чистки авторанов удаляешь всё и с папки C:\WINDOWS\Installer
либо выполняешь скрипт
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Installer\','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
 
Останнє редагування:
мда...с темой я лохонулся немного :) Модеры...если не сложно переместите тему в софт
Щас винт поставил на соседний комп...проверяю нодом...эта падла распространилась не только в автозагрузки на каждом диске, но и по всяким папкам типа systemvolume information, resycle и др...хорошо хоть экзешники не позаражал. Интересно когда этот вир каспер себе в базы добавит :)
 
Ви повинні увійти або зареєструватися, щоб відповісти.
Назад
Зверху Знизу