Autorun.FakeAlert.M

[Слава 0]

На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

[K_Mikhail 807]

На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте.

[Слава 0]

Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте.

Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

avz_log.txt

avz_log.txt

[K_Mikhail 807]

Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

Из бросающегося в глаза -- "Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe logon.exe""

Скиньте, пожалуйста, мне лог Cureit.log (он находится в C:\Documents and Settings\<Имя пользователя>\Doctor Web) в почту на mk500@yandex.ru. Плюс к этому в AVZ выполните "Исследование системы" (меню Файл -->Исследование системы). Полученный лог avz_sysinfo.htm скиньте туда же.

В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Найдите параметр Shell и исправьте его значение с explorer.exe logon.exe на explorer.exe.

[Слава 0]

Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm? Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

[K_Mikhail 807]

Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm?

Чем могу. Да пришлите, пожалуйста, потому как я не особо доверяю Malwarebytes' Anti-Malware.

Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Проверьте, пожалуйста, по какому пути находится этот файл. По C:\WINDOWS\system32\wbem\ ? Если да, то это нормально. Если нет, есть повод разбираться дальше.

[Андрей-001 1099]

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

[Слава 0]

Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Dr.Web CureIt при повторной проверке после Malwarebytes Anti-Malware ничего не обнаружил, благодарю Вас.

[K_Mikhail 807]

Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

В свойствах файла -- Описание: WMI. WMI == Windows Management Instrumentation, инструментарий управления Windows. Подробнее тут. Или тут (на английском).

По логам: в avz_sysinfo.htm присутствует следующая запись:

===

C:\WINDOWS\system32\ntos.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit

===

Самого файла-носителя на диске нет (в логе Cureit.log упоминаний о нём нет), т.е. данная запись в реестре является мусорной. Откройте в редакторе реестра ветвь [HKEY_USERS\ .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] и удалите ключ, значение которого C:\WINDOWS\system32\ntos.exe.

Встречный вопрос -- проверку CureIt! Вы проводили при запущенном AVZ?