Здравейте!

Днес включих към компютъра си външен хард диск, който не е мой. Първо го проверих за вируси и ето какво мми откри:

Първо сканирах с Аваст, откри ми:

Win32:AgentDQD

Win32:HackTool-CB

После с МАлуеър:

Malwarebytes' Anti-Malware 1.50

www.malwarebytes.org

Database version: 5302

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

12.12.2010 г. 21:29:32

mbam-log-2010-12-12 (21-29-32).txt

Scan type: Full scan (H:\|)

Objects scanned: 156344

Time elapsed: 14 minute(s), 33 second(s)

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 4

Memory Processes Infected:

(No malicious items detected)

Memory Modules Infected:

(No malicious items detected)

Registry Keys Infected:

(No malicious items detected)

Registry Values Infected:

(No malicious items detected)

Registry Data Items Infected:

(No malicious items detected)

Folders Infected:

(No malicious items detected)

Files Infected:

h:\system volume information\_restore{82bb8c98-dc12-4816-8ccd-5b23040efaf9}\rp40\a0016292.exe (Joke.Justakiss) -> Quarantined and deleted successfully.

h:\system volume information\_restore{c8c68058-c163-4dcd-8aee-57024552d939}\RP406\A0100284.exe (Worm.Koobface) -> Quarantined and deleted successfully.

h:\system volume information\_restore{c8c68058-c163-4dcd-8aee-57024552d939}\RP406\A0100285.exe (Worm.Koobface) -> Quarantined and deleted successfully.

h:\system volume information\_restore{c8c68058-c163-4dcd-8aee-57024552d939}\RP406\A0100286.exe (Worm.Koobface) -> Quarantined and deleted successfully.

А това излезе с DR.WEB CURE IT:

H:\ARHIV\c\Program Files\Eset\infected\3FGEA3CA.NQF архивиран XOREXE

>H:\ARHIV\c\Program Files\Eset\infected\3FGEA3CA.NQF инфектиран Win32.HLLM.Xgray.3 - неизлечим - преместен

Как бихте ме посъветвали да процедирам с него? Използваем ли е в това състояние или е по добре да се форматира?

Ето и логовете от DDS.

DDS.txt

Attach.txt

Здравейте!Включете външния диск към компютъра и направете сканирания с АВЗ:

1.Изтеглете програмата AVZ 4.35 и разархивирайте avz4.zip например в папка (c:\antivir).

- стартирате AVZ и обновявате базата с данни (в меню AVZ: Файл - Обновление баз - Пуск):

2.Затворете всички програми,временно изключете антивирусната си програма,защитната стена и друг защитен софтуер (ако имате такъв),оставете запуснат само Internet Explorer.

- докато трае сканирането и формирането на логовете изключете си интернета.

3.Стартирате AVZ,(в ОС Windows Vista стартирате с десен бутон на мишката от името на администратор),избираме от Меню - Файл - Стандартные скрипты:

... поставете отметка на 3-ти скрипт и натискаме "Выполнить отмеченные скрипты".В резултат на изпълнение на скрипта в папката AVZ\LOG ще се създаде архив virusinfo_syscure.zip.:

Внимание:След изпълнение на скрипта рестартирайте компютъра си!

4.Стартирате AVZ,(в ОС Windows Vista стартирате с десен бутон на мишката от името на администратор),избираме от Меню - Файл - Стандартные скрипты и поставете отметка на 2-ри скрипт,натискаме "Выполнить отмеченные скрипты".В резултат на изпълнение на скрипта в папката AVZ\LOG ще се създаде архив virusinfo_syscheck.zip.:

5.Затворете AVZ.Включете си антивирусната програма,защитната стена и интернета.Към темата прикачете:

- virusinfo_syscure.zip

- virusinfo_syscheck.zip

Внимание!!!

• Не бъркайте архива virusinfo_syscure.zip с virusinfo_cure.zip (втория за сега не ни е нужен)
• Ако AVZ не се стартира преименувайте файла avz.exe в 123.com (123.pif или 123.cmd)

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

За да направите програмата на руски език (препоръчително)

направете shortcut на иконката на програмата (от инсталационната папка на десктопа си)

десен бутон на иконката ==>properties ==>таб shortcut

ще видите този прозорец - направете посочените корекции:

Логовете от AVZ.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изключете интернет,антивирусната си програма и защитната си стена.

Нека и външния диск да остане включен към компютъра ви.

AVZ, меню "Файл -- Выполнить скрипт" -- Копирате долунаписания скрипт-- Натиснете бутон "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('h:\autorun.inf','');
 DeleteFile('h:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

След изпълнение на скрипта компютъра ви ще се рестартира.

След рестарта изпълнете следния скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В резултат на изпълнение на втория скрипт ще се сформира quarantine.zip (карантина).Отправете получения файл quarantine.zip от инсталационната папка на AVZ, на [email protected]

Направете и едно контролно сканиране с МБАМ..!

Здравейте. Току що Ви изпратих мейл. След изпълнението на първия скрипт компютърът не се рестартира, остана ми на екран само на десктоп без икони и активна мишка, наложи се да го ползвам бутона "RESET". Всъщност още вчера имаше проблем със "Shut down", отново зависна...(може би причината е от този хард, защото го забравих на USB-то, а преди това не ми е правил подобни номера). Всички устройства ли да сканирам с МБАМ, или само външния хард?

Само диска да видим дали е останало нещо зловредно в него....!После ако е чист Ваксинирайте машината с Panda USB Vaccine (изтеглете и стартирайте приложението и натиснете Vaccinate computer).

Забравих.....Panda USB Vaccine ваксинира и обеззаразява автоматично всяка поставена флашка (външен диск).Създава скрита папка на самата флашка"AUTORUN" - така трябва да бъде..!!!Седи си в System Tray и си върши работата..!

www.malwarebytes.org Database version: 5307 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 13.12.2010 г. 21:56:10 mbam-log-2010-12-13 (21-56-10).txt Scan type: Full scan (H:\|) Objects scanned: 156133 Time elapsed: 9 minute(s), 58 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected)

Мисля че всичко е наред....Ваксинирайте машината си както ви писах по горе и вече спокойно можете да си използвате Външния диск..!

Направих както ми казахте, благодаря Ви за помоща! AVZ и DDS вече мога да ги изтрия, нали??

Да разбира се..!

Само диска да видим дали е останало нещо зловредно в него....!После ако е чист Ваксинирайте машината с Panda USB Vaccine (изтеглете и стартирайте приложението и натиснете Vaccinate computer).

Забравих.....Panda USB Vaccine ваксинира и обеззаразява автоматично всяка поставена флашка (външен диск).Създава скрита папка на самата флашка"AUTORUN" - така трябва да бъде..!!!Седи си в System Tray и си върши работата..!

Гледам, че нещата приключват успешно, затова и питам в тази тема - AutoRun Settings няма ли да свърши същата работа, но без да е пусната постоянно?

Редактирано 13 декември 201015 г. от djagi (преглед на промените)