Обнаружен вирус...не знаю что делать
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Обнаружен вирус...не знаю что делать - 2008-11-23 13:43:48.186666
|
|
|
Xb1X
Сообщений: 6
Оценки: 0
Присоединился: 2008-11-20 16:59:01.106666
|
Привет народ…Я тут недавно в компе порядок наводил и обнаружил 2 скрытых файла в корневых каталогах (188gsm.bat и в приложение к нему autorun.inf)…Есть такое подозрение, что это вирус….я их удаляю…они снова появляются…через антивирь прогонял(NOD32) тоже ничего не говорит…а файлы эти создаются автоматически во всех корневых катлогах…будь то винт, флеха или cd диск!!…посоветуйте что мне делать, и вобще, есть предположения что это может быть
кстати, вот содержание авторуна:
;iilA24qliKHskl3Kdpi0o1sL2f383w2L2DmaSforsfsC7w9LLak1ajwIsA5SKkjLq53j9fskekDsod
[AutoRun]
;siLDFarU0LKldk874afa62d9a3s
open=188qsm.bat
;iaK1adS
shell\open\Command=188qsm.bat
;aA2931LsDkrrlJoAD3Sl1rjDs34fKCld3kwoLdKiSk4Ldk977022Lai4ai3
shell\open\Default=1
;JliwKaoL51aa5ailakFq2Sk7fD2DakoesU4daiILA
shell\explore\Command=188qsm.bat
;HiK98qieKALlfp4eljsaD4aDisawl3552sSkis3k3SrkI24sadfaaJ9qkkq033rip37oriKawJDOsLefa7A0skio5KDisL6okqiaK0r4wDoLf
…заранее благодарен!!!
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 13:45:48.873333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
99% с флэшки подцепил это.
Открой 188qsm.bat как текстовый файл, посмотри что там написано
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 13:48:50.156666
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
Нажми "изменить" на твоём файле 188qsm.bat и скопируй содержимое сюда, посмотрим, что там написано и какие он задачи выполняет.
[одновременно с верхним постом мысль идёт]
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 14:08:46.226666
|
|
|
Xb1X
Сообщений: 6
Оценки: 0
Присоединился: 2008-11-20 16:59:01.106666
|
когда как текст открываю выводит полнную неразбериху…..и очень большой обьм текста….копировать сюда стоит??
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 14:19:33.216666
|
|
|
Xb1X
Сообщений: 6
Оценки: 0
Присоединился: 2008-11-20 16:59:01.106666
|
ктсати…когда через FAR просматриваю…он выводит что-то типа:
0000000000: 4D 5A 40 00 01 00 00 00 | 02 00 00 00 FF FF 00 00
0000000010: 00 02 00 00 00 00 00 00 | 40 00 00 00 00 00 00 00
0000000020: 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00
.
.
.
До
00000194F0: 89 CB 28 A3 5F 2B 81 9B | 4E
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 14:26:27.516666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Судя по этой строке
0000000000: 4D 5A 40 00 01 00 00 00 | 02 00 00 00 FF FF 00 00
4D 5A - это MZ :) Значет это вовсе не батник, а полноценное приложение. Залей куда-нить его и ссылку кинь сюда
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 14:48:03.323333
|
|
|
Xb1X
Сообщений: 6
Оценки: 0
Присоединился: 2008-11-20 16:59:01.106666
|
http://xb1x.hu2.ru/188qsm.rar
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 15:50:19.723333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Хитрожопый вирус :) весь шифрованный
До конца его так и не разобрал
Выгрузи из процесса Explorer.EXE amvo0.dll и удали C:\WINDOWS\system32\amvo0.dll
Убей процесс и файл C:\WINDOWS\system32\amvo.exe
Удали ключ автозапуска HKCU\Software\Microsoft\Windows\CurrentVersion\Run, amva "c:\windows\system32\amvo.exe"
Через TotalCommander удали все файлы autorun.inf и 188qsm.bat из корня дисков
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 16:19:07.406666
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
Вирус amvo.exe автор: Волк | 6 мая 2008 | Просмотров: 766
На днях столкнулся с вирусом amvo.exe и решил поделиться методами борьбы с этой заразой.
Начну с начала. Запустив комп и обратившись к локальному диску заметил, что тот открылся в новом окне, хоть винда и любит экстравагантные действия, но это натолкнуло на подозрение. Решил прогнать полную проверку антивирусом и файрволом (юзаю Symantec AntiVirus и Outpost Firewall). Сразу же были обнаружены два подозрительных файла: amvo.exe и avpo0.dll, благо автоматически были удалены. Оба находились C:\Windows\system32\. Также в корне каждого диска находился файл autorun.inf.
Хотя файлы вируса и были удалены системой защиты, но возникла новая проблема: при попытке открытия любого из локальных дисков вылетало окно предлагающее выбрать программу для открытия файла:
Начал юзать Google, но ничего особо толкового не нашел. Но хоть более менее разобрался с типом вируса: данный тип при попытке открытия жесткого диска запускает вредоносный код который через интернет скачивает и устанавливает в зараженный компьютер прочие варианты вредоносной программы. На данный момент вирус насчитывает десятки модификаций, которые могут распространяться как через инфицированные СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.).
В последствии нашел пакет утилит которые помогают в исправлении проблем вызванных данным червем. Пакет можно скачать .
Инструкция по лечению компьютера от вируса amvo.exe:
1. Отключить компьютер от сети Интернет, распаковать содержимое архива и запустить утилиту №11 (важно: перед использованием утилиты настоятельно рекомендуется отключить проактивную антивирусную защиту, дабы избежать негативных казусов и ошибок лечения). В ходе процедуры лечения утилита осуществит следующие действия:
- удалит вредоносный файл amvo.exe, а затем в течении 30 секунд (время одинаково для любых компьютеров независимо от их быстродействия и количества информации на жестком диске) и все копии вируса в корнях логических, сетевых и съемных дисков, подключенных к компьютеру;
- выгрузит из памяти путем перезагрузки Explorer Shell и удалит вредоносные файлы amvoX.dll;
- удалит ссылку реестра на вредоносный файл amvo.exe, а также восстановит все измененные/заблокированные вирусом системные настройки, связанные с просмотром скрытых/системных файлов в Проводнике;
- удалит вредоносный файл C:\autorun.inf.
При этом в процедуру очистки не были включены файлы autorun.inf, расположенные в корнях дисков, отличных от C:. Также в утилиту не была включена процедура удаления вредоносного компонента …\Temp\*.dll, поскольку, во-первых, данный компонент расположен в папке временных файлов, которая может быть очищена от мусора при помощи любой программы чистки системного реестра (например, стандартное средство Windows cleanmgr.exe), а, во-вторых, поскольку данный компонент вируса никоим образом не может получить управление самостоятельно без участия прочих компонентов вируса.
Поскольку функционал утилиты построен на использовании двух вышеописанных ошибок, содержащихся в коде вируса, то лечение компьютера возможно лишь при условии, что процесс лечения запускается под зараженной системой при наличии активной копии вируса в памяти. В этом случае утилита полностью пролечивает компьютер только от текущей версии вируса (любой), а не всех тех, Основные компоненты которых присутствуют на диске в неактивном состоянии;
2. Запустить утилиту №6 для блокировки чтения системой данных из вредоносных файлов autorun.inf из набора VirusHunter'а (если в дальнейшем Вы не хотите более использовать данную утилиту, то запустите ее еще раз - установленный в систему компонент для блокировки autorun.inf при каждом старте системы будет удален, но при этом для текущего сеанса работы в Windows данная блокировка будет активна);
3. Удалить из корней дисков всех дисков, отличных от C:, оставшиеся после вируса файлы-компоненты autorun.inf, т.к. в противном случае ни через меню "Мой компьютер", ни посредством Проводника доступ к данным на таких дисках получить не удастся (кроме, как через командную строку или сторонний файловый менеджер типа Total Commander или Far Manager);
4. Если после лечения наблюдается нестабильность в работе ОС, то это можно легко исправить, просто перезагрузив компьютер.
Также для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой STSS (Stealth Trojan
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 16:55:32.636666
|
|
|
Xb1X
Сообщений: 6
Оценки: 0
Присоединился: 2008-11-20 16:59:01.106666
|
Flint_ta, пасиба!!….начал искать amvo0.dll в процессах…так и не нашел. тогда я сделал так сначала удалил из автозагрузки и после перезагрузки убил все эти левые файлы…помогло!!…от меня +2)))
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 17:06:11.280000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
знали бы вы на скольких компах эта хрень!
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 17:07:51.300000
|
|
|
Xb1X
Сообщений: 6
Оценки: 0
Присоединился: 2008-11-20 16:59:01.106666
|
кинь ссылку на пакет, плиз!…кстати, статья очень познавательная…+1)))
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 19:13:27.893333
|
|
|
xaxa89
Сообщений: 287
Оценки: 0
Присоединился: 2008-05-18 00:30:38.240000
|
А че делает эта зараза????не выяснили???
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 19:45:20.186666
|
|
|
RanDoMix
Сообщений: 1568
Оценки: 0
Присоединился: 2007-10-20 20:09:28.990000
|
Время от времени просматривайте корневые каталоги FAR'ом. И при обнаружении файла autorun.inf удаляйте (если это конечно не ваш). Рядом должен быть *.com или *.exe файл с рандомным названием (кстати первый раз вижу ещё и *.bat). Удалять.
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 20:02:28.146666
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
quote:
ORIGINAL: xaxa89
А че делает эта зараза????не выяснили???
Дыхание перехватывает от твоей непролазной тупости!
Ты пост НОМЕР ДЕВЯТЬ читал?
Ты строки эти видел?
при попытке открытия жесткого диска запускает вредоносный код который через интернет скачивает и устанавливает в зараженный компьютер прочие варианты вредоносной программы.
|
|
|
|
|
RE: Обнаружен вирус...не знаю что делать - 2008-11-23 21:17:00.300000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
вчера комп секретарши разгребал от этого гавна - скачалось из сети какоето трояно… пашет только осел… жестко это было…
|
|
|
|
|
|
