Вирусы на флешке.
MegaNub
Новичок
3/19/2009, 2:49:04 AM
Скорее всего вопрос не новый, но что-то я ответ на него не нашел.
Дал одногруппнику флешку, после чего пришлось удалять вирусы, но один троян, как я понял, внедрился в авто ран и не удаляется. При подключении флешки антивирь его видит, предлагает удалить и т.п., и файлик вируса тоже виден, но при повторном подключении вирус снова там. Формат тоже не помогает.
В данный момент на компе антивирус Аваст.
Возможно ли удалить вирус?
Дал одногруппнику флешку, после чего пришлось удалять вирусы, но один троян, как я понял, внедрился в авто ран и не удаляется. При подключении флешки антивирь его видит, предлагает удалить и т.п., и файлик вируса тоже виден, но при повторном подключении вирус снова там. Формат тоже не помогает.
В данный момент на компе антивирус Аваст.
Возможно ли удалить вирус?
Rambus
Грандмастер
3/19/2009, 3:32:48 AM
Можно, Каспером, форматированием или другими антивирями кроме Аваста, который лажанулся. Заодно и весь комп посканить не мешает коли такая возможность представилась.
P.S. если форматирование не помогает, есть резон предположить, что либо форматирование проведено хреново, либо что вирь подцепляется с чьего-то компа, который "вне подозрений".
P.S. если форматирование не помогает, есть резон предположить, что либо форматирование проведено хреново, либо что вирь подцепляется с чьего-то компа, который "вне подозрений".
zlo28
Мастер
3/19/2009, 9:06:52 AM
Сейчас скажут читай правила создания тем. И действительно без логов с того же AVZ вам вряд ли что посоветуют. Ну если флешку форматируете а при повторном открытии там снова они есть, то резонно предположить что лечить нужно весь комп ибо вирус уже на нем
Алексеев
Мастер
3/19/2009, 9:20:57 PM
Смысл-то смотреть логи и изгонять вирус? Если антивирусная защита никакая, это работа в пень. С одноразовым эффектом.
Rambus помоему всё сказал, добавить нечего :)
Rambus помоему всё сказал, добавить нечего :)
do-do
Мастер
3/19/2009, 10:49:52 PM
Я уж по привычке на всх своих флешках создаю скрытый системный каталог Autorun.inf
Не поверите - помогает :)
Не поверите - помогает :)
Mateo
Профессионал
3/23/2009, 6:23:04 PM
Есть такой софт прикольный - USBGuard, его сейчас частенько в "сборки" включают.
Вот - https://www.backbook.me/go/?id=1&d=&f=/files/116741466/USB_Guard_-_Portable.rar
Должно помочь! Ссылка не моя, если что не ругайте!!!
Вот - https://www.backbook.me/go/?id=1&d=&f=/files/116741466/USB_Guard_-_Portable.rar
Должно помочь! Ссылка не моя, если что не ругайте!!!
MegaNub
Новичок
3/24/2009, 5:14:01 PM
Mateo , спасибо, прога действительно помогла, хоть и не со ссылки 
do-do , а как создать этот системный каталог?
Решил теперь разобраться с провинившимся Аvastом, а он не хочет удаляться..эх
do-do , а как создать этот системный каталог?
Решил теперь разобраться с провинившимся Аvastом, а он не хочет удаляться..эх
chicolatino
Мастер
5/20/2009, 7:49:24 PM
У меня похожая проблема, хотя дело не во флешке. Через флешку я подхватил на ноут червя Worm, Каспер его удалил, потом я почистил реестр, вирус себя никак не проявлял. Поставил флешку на стационарный комп, НОД сразу обнаружил там Worm, отправил его в карантин. Насколько я понял, вирус на ноуте (а заодно и на флешке, и на выносных жёстких) остался. Возможно ли его полностью оттуда удалить? Переустанавливать систему по некоторым причинам не хочу. К сожалению, лог тоже не могу представить, не хочу подключать ноут к нету, т.к. червь сетевой. В нете пока ничего подходящего для лечения этого червя не нашёл...
DELETED
Акула пера
5/20/2009, 8:56:11 PM
Скучно как-то.
Вот вам батничег.
protect.bat
поместить в %system32%
CODE mkdir %1\autorun.exe
cd %1\autorun.exe
mkdir ..1\
cd ..
attrib +R +A +S +H autorun.exe
mkdir %1\autorun.inf
cd %1\autorun.inf
mkdir ..1\
cd ..
attrib +R +A +S +H autorun.inf
использование:
Win+R -> protect E: -> enter
Где E: - имя логического диска (флешки).
И забываем про автораны нафсегда.
Вот вам батничег.
protect.bat
поместить в %system32%
CODE mkdir %1\autorun.exe
cd %1\autorun.exe
mkdir ..1\
cd ..
attrib +R +A +S +H autorun.exe
mkdir %1\autorun.inf
cd %1\autorun.inf
mkdir ..1\
cd ..
attrib +R +A +S +H autorun.inf
использование:
Win+R -> protect E: -> enter
Где E: - имя логического диска (флешки).
И забываем про автораны нафсегда.
chicolatino
Мастер
5/20/2009, 9:46:48 PM
Спасибо за батничег, и извините, что скучно. У меня проблема не столько с автораном и флешкой. Флешку я и отформатровать могу. Может, подскажите, как мне червя Worm полностью с ноута удалить без переустановки системы?
DELETED
Акула пера
5/21/2009, 12:19:27 AM
Worm (англ.) - червяк.
Не осилил. Обычно обзывают минимум в два слова через точку.
Конкретизируйте.
Не осилил. Обычно обзывают минимум в два слова через точку.
Конкретизируйте.
do-do
Мастер
5/21/2009, 1:14:16 PM
(chicolatino @ 20.05.2009 - время: 17:46) как мне червя Worm полностью с ноута удалить без переустановки системы?
Ну ежли знаешь, что червь есть, значит палится антивирусом ? Другое дело, что удалить не может,
Самое правильное LiveCD и чистка антивирем (со свежими базами) или пальцами, если известный червяк и знаешь, где на гадил
В пиковом случае можно попробовать в Safe моде попробовать...если не запускается, нужно батничек найти, который включает ее (бывает зверьки, реестр гадят :) )
Ну ежли знаешь, что червь есть, значит палится антивирусом ? Другое дело, что удалить не может,
Самое правильное LiveCD и чистка антивирем (со свежими базами) или пальцами, если известный червяк и знаешь, где на гадил
В пиковом случае можно попробовать в Safe моде попробовать...если не запускается, нужно батничек найти, который включает ее (бывает зверьки, реестр гадят :) )
DELETED
Акула пера
5/21/2009, 5:46:29 PM
И вообще почитайте правила открытия новых тем. Там за AVZ агитация в картинках забавная. Поможет.
chicolatino
Мастер
5/22/2009, 6:31:59 PM
(JeyLo @ 20.05.2009 - время: 20:19) Worm (англ.) - червяк.
Не осилил. Обычно обзывают минимум в два слова через точку.
Конкретизируйте.
Да, всё правильно. Извините.
НОД его идентифицирует как Autorun inf. Win32/Tifaut C. worm.
Я читал про AVZ. Возможно, это был бы самый подходящий вариант для меня, однако, есть некоторые проблемы. Вирус у меня на на ноуте, а к интернету подключён стационарный комп. С подключением ноута к инету есть некоторые трудности. Провайдер для подключения к нету привязывается к сетевой карте конкретного компа, поэтому мне каждый раз нужно перенастраивать подключение и связываться с провайдером для подключения другого компа. Вчера я всё-таки подключил ноут к нету, установил и обновил последнего каспера, просканировал систему, в итоге каспер ничего не нашёл, а я замахался переподключаться. Потратил на это полдня и безрезультатно.
Раньше этот червь проявлялся таким образом. На флешке, а потом и на ноуте появлялся ехе. файл, котрый, как в последствии выяснилось, после удаления появлялся снова под новыми именами. Началось все с имени типа csrcs.exe, потом имена менялись, прежним оставалось только количество букв в имени. Это приложение пыталось организовать подключение к инету, кроме этого, оно изменяло реестр. В результате этих изменений перестал работать Windows Explorer. По совету друзей и с помощью Hijackthis я удалил 4 ключа из реестра, после этого всё заработало. Само же приложение было удалено каспером. Приложение это появлялось постоянно с файлом khs, который я тоже изначально удалил и посчитал, что с этим вирусом покончено. На протяжении последнего месяца я не пользовался флешкой, а вот позавчера подключил флешку к ноуту, а потом к стац. компу. На стац. компе стоит НОД, регулярно обновляемый, который сразу обнаружил на флешке этот вирус: Autorun inf. Win32/Tifaut C. worm. Он пытался подключиться к нету и параллельно пытался внедриться в Агнитум. После этого, как я писал выше, я сделал глубокую проверку ноута обновлённым каспером, но он ничего не обнаружил. Но что интересно. Во время сканирования ноута каспером я случайно заметил, что там проскакивает файл с именем khs, но каспер на него никак не реагирует! После этого я просканировал весь комп поиском но файла с таким именем там не обнаружено. Как я прочитал на одном из форумов, этот червь оставляет хорошо замаскированные части, которые в нужное время (при подключении к нету, ессно) могут восстановить червя в полном объёме. Пока что я думаю насчёт этого файла khs. Может ли такое быть, что он всё-таки где-то остался, но обычным поиском его нельзя обнаружить? И можно ли как-то определить, остались ли какие-то части этого червя в ноуте?
Не осилил. Обычно обзывают минимум в два слова через точку.
Конкретизируйте.
Да, всё правильно. Извините.
НОД его идентифицирует как Autorun inf. Win32/Tifaut C. worm.
Я читал про AVZ. Возможно, это был бы самый подходящий вариант для меня, однако, есть некоторые проблемы. Вирус у меня на на ноуте, а к интернету подключён стационарный комп. С подключением ноута к инету есть некоторые трудности. Провайдер для подключения к нету привязывается к сетевой карте конкретного компа, поэтому мне каждый раз нужно перенастраивать подключение и связываться с провайдером для подключения другого компа. Вчера я всё-таки подключил ноут к нету, установил и обновил последнего каспера, просканировал систему, в итоге каспер ничего не нашёл, а я замахался переподключаться. Потратил на это полдня и безрезультатно.
Раньше этот червь проявлялся таким образом. На флешке, а потом и на ноуте появлялся ехе. файл, котрый, как в последствии выяснилось, после удаления появлялся снова под новыми именами. Началось все с имени типа csrcs.exe, потом имена менялись, прежним оставалось только количество букв в имени. Это приложение пыталось организовать подключение к инету, кроме этого, оно изменяло реестр. В результате этих изменений перестал работать Windows Explorer. По совету друзей и с помощью Hijackthis я удалил 4 ключа из реестра, после этого всё заработало. Само же приложение было удалено каспером. Приложение это появлялось постоянно с файлом khs, который я тоже изначально удалил и посчитал, что с этим вирусом покончено. На протяжении последнего месяца я не пользовался флешкой, а вот позавчера подключил флешку к ноуту, а потом к стац. компу. На стац. компе стоит НОД, регулярно обновляемый, который сразу обнаружил на флешке этот вирус: Autorun inf. Win32/Tifaut C. worm. Он пытался подключиться к нету и параллельно пытался внедриться в Агнитум. После этого, как я писал выше, я сделал глубокую проверку ноута обновлённым каспером, но он ничего не обнаружил. Но что интересно. Во время сканирования ноута каспером я случайно заметил, что там проскакивает файл с именем khs, но каспер на него никак не реагирует! После этого я просканировал весь комп поиском но файла с таким именем там не обнаружено. Как я прочитал на одном из форумов, этот червь оставляет хорошо замаскированные части, которые в нужное время (при подключении к нету, ессно) могут восстановить червя в полном объёме. Пока что я думаю насчёт этого файла khs. Может ли такое быть, что он всё-таки где-то остался, но обычным поиском его нельзя обнаружить? И можно ли как-то определить, остались ли какие-то части этого червя в ноуте?
DELETED
Акула пера
5/22/2009, 7:40:03 PM
(chicolatino @ 22.05.2009 - время: 14:31) И можно ли как-то определить, остались ли какие-то части этого червя в ноуте?
Можно. Скачай и через флешку перенеси эту версию AVZ на бук(c флешки не запускай).
https://rapidshare.de/files/47208693/explorer.pif.html базы не нужно обновлять.
Затем сделай отчеты по правилам раздела Help. Hijackthis тоже. Отчеты залей https://www.slil.ru/
Можно. Скачай и через флешку перенеси эту версию AVZ на бук(c флешки не запускай).
https://rapidshare.de/files/47208693/explorer.pif.html базы не нужно обновлять.
Затем сделай отчеты по правилам раздела Help. Hijackthis тоже. Отчеты залей https://www.slil.ru/
DELETED
Акула пера
5/23/2009, 5:09:58 PM
Кстати, по поводу провайдера и подключения: сохраните MAC-адрес привязки и, в случае необходимости, просто присваивайте новому компьютеру. Не забыв изменить на предыдущем на произвольный. А вообще лучше купить за две тысячи (x/a)DSL-роутер с точкой доступа и вообще забить на проблемы.
https://www.klcconsulting.net/smac/
https://www.nthelp.com/NT6/change_mac_w2k.htm
Да, если кому не понятно, инструкция mkdir ..1\ на FAT(FAT32) делает невозможным удаление скрытых каталогов, создаваемых батником.
https://www.klcconsulting.net/smac/
https://www.nthelp.com/NT6/change_mac_w2k.htm
Да, если кому не понятно, инструкция mkdir ..1\ на FAT(FAT32) делает невозможным удаление скрытых каталогов, создаваемых батником.
-=DRON=-
Любитель
6/5/2009, 12:55:13 AM
Еще один скрипт для вакцинации флешки.
CODE mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
mkdir "\\?\%~d0\AUTORUN.INF\LPT3\.."
copy autorun.ico AUTORUN.INF
echo [.ShellClassInfo] > AUTORUN.INF\desktop.ini
echo IconFile="..\AUTORUN.INF\autorun.ico" >> AUTORUN.INF\desktop.ini
echo IconIndex=0 >> AUTORUN.INF\desktop.ini
echo InfoTip="Антивирусный скрипт AUTOSTOP version 2.4" >> AUTORUN.INF\desktop.ini
attrib +h +r +s AUTORUN.INF\desktop.ini
attrib +h +r +s AUTORUN.INF\autorun.ico
attrib +s AUTORUN.INF
Скопировать в блокнот и сохранить как AUTOSTOP.bat
Вместе с подходящей иконкой скопировать на флешку и запустить.
Создает на флешке папку "AUTORUN.INF" и в ней папку "LPT3". Так как "LPT3" в папке "AUTORUN.INF" создан нестандартным способом то и удалить его уже не получится, только формат!
Подходящую иконку для скрипта можно найти поиском на компе, например в папке "C:\Program Files\".
CODE mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
mkdir "\\?\%~d0\AUTORUN.INF\LPT3\.."
copy autorun.ico AUTORUN.INF
echo [.ShellClassInfo] > AUTORUN.INF\desktop.ini
echo IconFile="..\AUTORUN.INF\autorun.ico" >> AUTORUN.INF\desktop.ini
echo IconIndex=0 >> AUTORUN.INF\desktop.ini
echo InfoTip="Антивирусный скрипт AUTOSTOP version 2.4" >> AUTORUN.INF\desktop.ini
attrib +h +r +s AUTORUN.INF\desktop.ini
attrib +h +r +s AUTORUN.INF\autorun.ico
attrib +s AUTORUN.INF
Скопировать в блокнот и сохранить как AUTOSTOP.bat
Вместе с подходящей иконкой скопировать на флешку и запустить.
Создает на флешке папку "AUTORUN.INF" и в ней папку "LPT3". Так как "LPT3" в папке "AUTORUN.INF" создан нестандартным способом то и удалить его уже не получится, только формат!
Подходящую иконку для скрипта можно найти поиском на компе, например в папке "C:\Program Files\".
chicolatino
Мастер
6/6/2009, 12:51:29 AM
Спасибо за ответы, извините, что не сразу, был в отъезде. У меня НОД на стационарном компе опять нашёл подозрительный файл и определил его как конфикер. Я скачал AVZ, просканировал пока только стац. комп. Приаттачиваю лог, помогите советом, пожалуйста.
DELETED
Акула пера
6/6/2009, 3:22:28 AM
Это не лог. Лог находится в папке из которой вы запускали AVZ, в папке LOG и называется virusinfo_syscure.zip Его можно залить сюда https://www.slil.ru/ , но и без него понятно, что лечиться от конфикера пока рано:
Версия Windows: 5.1.2600, Service Pack 2
Установите SP3
https://www.microsoft.com/DownLoads/details...08-1e1555d4f3d4
и все последующие обновления, ну хотябы это:
https://www.microsoft.com/downloads/details...76-2067b73d6a03
Потом можно проверить обе машины и флешку KidoKiller:
https://support.kaspersky.ru/wks6mp3/error?qid=208636215
PS. Логи АВЗ и Hijack нужны для проверки на присутствие прочей заразы.
Версия Windows: 5.1.2600, Service Pack 2
Установите SP3
https://www.microsoft.com/DownLoads/details...08-1e1555d4f3d4
и все последующие обновления, ну хотябы это:
https://www.microsoft.com/downloads/details...76-2067b73d6a03
Потом можно проверить обе машины и флешку KidoKiller:
https://support.kaspersky.ru/wks6mp3/error?qid=208636215
PS. Логи АВЗ и Hijack нужны для проверки на присутствие прочей заразы.
chicolatino
Мастер
6/6/2009, 5:32:00 AM
Спасибо, я понял. Но, пока я всё это сделаю, можно походу два вопроса:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\windows\hffext\hffkbd.dll --> Подозрение на Keylogger или троянскую DLL
C:\windows\hffext\hffkbd.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Определяет имя файла для модуля: hffkbd.dll
3. Опрашивает состояние клавиатуры
4. Опрашивает активную раскладку клавиатуры
5. Определяет ASCII коды по кодам клавиш
C:\windows\hffext\hffkbd.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\windows\hffext\hffkbd.dll)
НОД определяет именно этот файл hffext как конфикер, причём указывает на ту папку, где его нет. Что с ним делать?
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
И что делать с этими уязвимостями? Компьютер домашний, но подключается к нету через локальную сеть. Агнитум постоянно блокирует атаки с разных айпишников...
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\windows\hffext\hffkbd.dll --> Подозрение на Keylogger или троянскую DLL
C:\windows\hffext\hffkbd.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Определяет имя файла для модуля: hffkbd.dll
3. Опрашивает состояние клавиатуры
4. Опрашивает активную раскладку клавиатуры
5. Определяет ASCII коды по кодам клавиш
C:\windows\hffext\hffkbd.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\windows\hffext\hffkbd.dll)
НОД определяет именно этот файл hffext как конфикер, причём указывает на ту папку, где его нет. Что с ним делать?
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
И что делать с этими уязвимостями? Компьютер домашний, но подключается к нету через локальную сеть. Агнитум постоянно блокирует атаки с разных айпишников...