24 ответов в этой теме

[Mephodus]

Здравствуйте! Буквально несколько дней назад один мой сотрудник обнаружил у себя на флеш-накопителе файл autorun.inf, не определявшийся стоящим у нас на работе NOD32 как вирус, но его невозможно было удалить, и он не давал записывать данные на флешку. После оказалось, что такой файл имеется и у других сотрудников. Проверка файла DrWeb'ом на моём домашнем компьютере также не выявила его вирусную принадлежность, более того, файл спокойно дал себя удалить. Но на следующий день при установке флешки он снова появился, при попытке удалить вылезали сообщения о невозможности это сделать. Тогда вся флешка была проверена, и DrWeb обнаружил некий Autorunner (точное название не запомнил), который был благополучно удалён. Но autorun.inf остался! И не удаляется ни вручную, ни с помощью каких-либо программ типа USB disk Security. Этот autorun.inf не даёт извлекать флешку (ни через пункт меню Извлечь, ни через безопасное удаление), не открывается, не архивируется, при вставке флешки на месте изображения диска (в папке Мой компьютер) стоит рисунок открытой папки.

Как избавиться от этой заразы??



PS Сделал логи HJ, RKU, лог drweb не смог сделать, т.к. вместо drwebscan.zip скачивается index.php.

Прикрепленные файлы:

•  hijackthis.rar   3,39К   29 Скачано раз
•  Report.rar   3,33К   53 Скачано раз
•  pic1.PNG   12,38К   24 Скачано раз
•  pic2.PNG   9,38К   23 Скачано раз
•  pic3.PNG   11,96К   23 Скачано раз
•  pic4.PNG   16,33К   22 Скачано раз

[YVS]

PS Сделал логи HJ, RKU, лог drweb не смог сделать, т.к. вместо drwebscan.zip скачивается index.php.

Сделайте лог CureIt!

Скачайте Process Explorer и с помощью его посмотрите, кто держит файл/флешку

В Process Explorer-е
1) Ctrl+F
2) набираем "K:"
3) Search

Сообщение было изменено YVS: 19 Февраль 2010 - 17:16
Добавил сообщение

[PAUK]

Mephodus Это-же логи с Вашего компьютера, на котором стоит Доктор, а он этот вирус видит и удаляет . Искать нужно на работе! Попробуйте флешку вставлять с зажатым шифтом и открывать не "прямым тыком", а через меню по правой кнопке мыши.
Кстати, посмотрите ЗДЕСЬ - полезно для флешек. А для удаления попробуйте Unlocker

[Azazel]

Эту каку Unlocker не качайте....Мой нод32 заругался,что та 3 вируса

[PAUK]

...Мой нод32

А Доктор - НЕТ. И что?! Параноиков НЕМНОГО СМОТРЕТЬ - это на инсталлер видимо. Качаешь portable - даже НОД молчит ВОТ

[Mikhail Maltsev]

Эту каку Unlocker не качайте....Мой нод32 заругался,что та 3 вируса

Если Вы доверяете своему Nod32, что тогда здесь делаете?

[PAUK]

Что тогда здесь делаете?

Помощи просит

[Mikhail Maltsev]

Что тогда здесь делаете?

Помощи просит

А с каких пор техподдержка Eset перестала оказывать помощь своим клиентам?

[PAUK]

Что тогда здесь делаете?

Помощи просит

А с каких пор техподдержка Eset перестала оказывать помощь своим клиентам?

А почему Вы думаете, что он "их " клиент? Просто честно нашел "ничейный ключ" в интернете и пользует

[Mikhail Maltsev]

Что тогда здесь делаете?

Помощи просит

А с каких пор техподдержка Eset перестала оказывать помощь своим клиентам?

А почему Вы думаете, что он "их " клиент? Просто честно нашел "ничейный ключ" в интернете и пользует

"Ничейных" вещей не бывает". (с)

[PAUK]

"Ничейных" вещей не бывает". (с)

Это знаете Вы и я и еще многие. Но все-же не все знают то, что все знать должны.

[Dallen]

Mephodus, мне кажется, Вам необходимо обновить базы Вашего ДрВеба и ещё раз прогнать флэшку и компьютер.
У меня была ситуация один в один неделю назад: такой же авторан, такое же молчание антивируса - потом обновление Веба и вопли Спайдера. В итоге - Win32.HLLW.Lime.18.
Единственное, что меня сейчас беспокоит, - это две скрытые папки со значками корзины на флэхе - PRIDJI (в которой и был найден вышеуказанный вредоносное программное обеспечение) и жутконазванная BURNAREAKCIJA. Их видно только через сканер Веба. Установка флажка на показе скрытых файлов ничего не даёт (хотя и в реестре, вроде, стоят правильные параметры).
Как сделать эти папки видимыми и как их удалить?

Сообщение было изменено Dallen: 21 Февраль 2010 - 10:19

[Borka]

Как сделать эти папки видимыми и как их удалить?

ФАР/ТС в помощь. Если папки восстанавливаются после удаления, то суслик жив. Тогда лечиться. Если не - тогда вот это: http://wiki.drweb.com/index.php/%D0%95%D1%...%B5%D0%BD%D0%BE

[ISI]

Mephodus Это-же логи с Вашего компьютера, на котором стоит Доктор, а он этот вирус видит и удаляет . Искать нужно на работе! Попробуйте флешку вставлять с зажатым шифтом и открывать не "прямым тыком", а через меню по правой кнопке мыши.
Кстати, посмотрите ЗДЕСЬ - полезно для флешек. А для удаления попробуйте Unlocker

[Driver]

ISI Такой смайл своему НОДишке покажите.

[Mikhail Maltsev]

ISI Такой смайл своему НОДишке покажите.

Товарищ, я хоть не модератор, но призываю к приличию. Культурней

[Driver]

ISI Такой смайл своему НОДишке покажите.

Товарищ, я хоть не модератор, но призываю к приличию. Культурней

Пусть уберёт смайл и мазню, я уберу свой ответ и будет всё прилично.

[Borka]

ISI Такой смайл своему НОДишке покажите.

Товарищ, я хоть не модератор, но призываю к приличию. Культурней

Пусть уберёт смайл и мазню, я уберу свой ответ и будет всё прилично.

Расценивайте этот смайл как реакцию на реакцию НОДа.

[Driver]

Добро.

[PAUK]

Вот народ... уже ведь и ссылку дал для параноиков на портабельную версию, ан нет - НОДом тычУт и даже не читают, что он горемычный им сообщает- потенциально нежелательное ПО, точнее установка тулбара, которую ни один человек в здавом уме и так не отметит в установщике программы.