| ARMY.exe - вирус автозапуска ARMY.exe
----------
Вирус автозапуска Backdoor.Win32.VB.iqo
----------
Описание:
При открытии флэш-карты в режиме автозапуска или через Проводник (EXPLORER) -
Создает на съемном диске:
1. /SYSTEM/ (скрытая папка) *:/SYSTEM/FILES/ARMY.exe
*:/SYSTEM/FILES/Desktop.ini Code [.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E} 2. autorun.inf Code [autorun]
open=SYSTEM\FILES\ARMY.exe
;ЄУИЕММьПРЕОьДЕЖБХМФќ‘О†
;This is Mainly Used by Driver Utility Dont Remove This File.
action=Open folder to view files
shell\open=Open
shell\open\command=SYSTEM\FILES\ARMY.exe
shell\open\default=1 Создает на системном диске С:
1. С:/SYSTEM/ (скрытая папка) *:/SYSTEM/FILES/ARMY.exe
*:/SYSTEM/FILES/Desktop.ini [.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
2. Запись в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}
| - _Autorun.....................................1.1
| - | - Action.....................................1.1.1
| - Shell............................................1.2
| - - | AutoRun..................................1.2.1
| - - | - | command............................1.2.1.1
| - - | open.......................................1.2.2
| - - | - | command...........................1.2.2.1
| - - | - | default...............................1.2.2.2 REESTR:
==============
1.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}
[ab](Пo умолчанию)...................REG_SZ ........................(значение не присвоено)
[fig]Au torunStatus ....................REG.BIN... ...................................O1O1ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff...
[ab]BaseClass ...........................REG_SZ ..........................Drive 1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun
[ab](По умолчанию).......................REG_SZ.....................(значение не присвоено) 1.1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun\Action
[ab](По умолчанию).........................REG_SZ...........................Open folder to view files 1.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell
[ab](По умолчанию)........................REG_SZ............................Open 1.2.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\AutoRun
[ab](По умолчанию) ........................REG_SZ ........................(значение не присвоено)
[ab]Extended........................REG_SZ 1.2.1.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\AutoRun\command
[ab](По умолчанию)........................REG_SZ........................SYSTEM\FILES\ARMY.exe 1.2.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open
[ab](По умолчанию)........................REG_SZ........................Open 1.2.2.1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open\command
[ab](По умолчанию)........................REG_SZ ........................SYSTEM^ILES\ARMY.exe 1.2.2.2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell\open\default
[ab](По умолчанию)........................REG SZ........................1 =======================
Действия:
---------
1. Включить опцию просмотра скрытых файлов
2. Отключить автозапуск флэш-карты
3. Удалить С:/SYSTEM/ (скорее всего понадобится UNLOCKER или аналогичные программы)
4. Удалить в реестре значения 1.1 и 1.2
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\_Autorun
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c44bd95d-c74f-11dd-af11-00e04d0623f0}\Shell
5. Просканировать зараженную флэш-карту антивирусом
6. После сканирования просмотреть через Total Commander с включенной опцией просмотра скрытых файлов и при необходимости вручную удалить *:/SYSTEM/ и autorun.inf =================
VirusInfo Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы.
Выполните в AVPTool скрипт: Code begin
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
QuarantineFile('c:\SYSTEM\FILES\ARMY.exe','');
DeleteFile('c:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин верху этой темы. Подключите к компьютеру все флешки, удерживая нажатой клавишу Shift.
Сделайте новый файл информации о системе и приложите к этой теме. ***
Закройте все программы.
Выполните в AVPTool скрипт:
Code begin
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
DeleteFile('c:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
QuarantineFile('C:\Program Files\Xmarks\IE Extension\xmarkssync.exe','');
QuarantineFile('C:\Program Files\hUSB\hUSB.exe','');
QuarantineFile('C:\Program Files\Apple Software Update\SoftwareUpdate.exe','');
QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');
QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин верху этой темы. ***
Скачайте файл http://virusinfo.ifolder.ru/12041226.
Сохраните в отдельную папку, запустите и через меню Файл выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме. ***
Выполните в AVPTool скрипт:
Code begin
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
end.
Это для очистки реестра. Файл трояна убит, похоже он восстанавливался с флешки.
Сетевое подключение z-connect удалите.
Проблема решена? ***
А как мне быть с некоторыми неотображающимися ярлычками в трее? Процессы запущены, а ярлычков нет. Заранее спасибо... Щелкните правой кнопкой мыши на свободном месте в трее - Свойства - снимите галочку Скрывать неиспользуемые значки. =================== | 