-
Junior Member
- Вес репутации
- 47
Вирус создаёт ярлыки вместо папок на флешке! Весь офис в этой дряни!
Вирус создаёт ярлыки вместо папок на флешке! Весь офис в этой дряни!
Атрибуты для папок сбрасывал, но вирус всё равно делает ярлыками.
Чтобы вылечить офис мне придется скидывать для каждого компа логи?
А пока с моего компьютера...
(2 лога, 64-разрядная)
Просьба это удалить - http://virusinfo.info/showthread.php?t=104739
не прикрепились логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Hi ivrmx and welcome to VirusInfo!
-
-
Junior Member
- Вес репутации
- 47
Думаю случай серьёзный
могу кинуть вирусный-файл который создаётся на флешке в папке RECYCLER
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: SHOUTcast Toolbar Search Class - {14f0d511-36a2-41ca-ae01-ba4f87282c97} - C:\Program Files (x86)\SHOUTcast Radio Toolbar\shoutcasttb.dll (file missing)
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files (x86)\mail.ru\sputnik\MailRuSputnik.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
F2 - REG:system.ini: Shell=
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files (x86)\mail.ru\sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files (x86)\WebMoney Advisor\tbcore3.dll (file missing)
O3 - Toolbar: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
O3 - Toolbar: SHOUTcast Radio Toolbar - {0457331d-8ca6-4f97-9c26-6a9ef2b2dba8} - C:\Program Files (x86)\SHOUTcast Radio Toolbar\shoutcasttb.dll (file missing)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: iNetFormFiller Bar - {B9F7135C-B512-4CC3-9316-FA0044083914} - D:\PROGRA~2\INETFO~1\FORMFI~1.DLL (file missing)
O4 - HKCU\..\Run: [Vncmch] C:\Users\RMX\AppData\Roaming\Vncmch.exe
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files (x86)\WebMoney Advisor\tbcore3.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files (x86)\WebMoney Advisor\tbcore3.dll (file missing)
O9 - Extra button: iNetFormFiller Bar - {8B393324-2563-4E7A-B272-859BE0D2BA11} - D:\PROGRA~2\INETFO~1\FORMFI~1.DLL (file missing)
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\Users\RMX\AppData\Roaming\Vncmch.exe','');
DeleteFile('C:\Users\RMX\AppData\Roaming\Vncmch.exe');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=104757).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сообщение от
ivrmx
мне придется скидывать для каждого компа логи?
Строго говоря - да. Но насколько я понимаю, Вы немного ориентируетесь в вопросе, так что вероятно и сами разберетесь. В этих логах, как нетрудно догадаться, зловред Vncmch.exe. Фиксы в Хайджеке - просто попутная чистка мусора.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Файл сохранён как 110629_152200_virus_4e0b431842d63.zip
Размер файла 138654
MD5 cf467871a397806bc833305e8a5b561c
Зловредный экзешник видимо ещё в автозагрузке, т.к. 2ip Start Guard ругался при перезагрузке.
Логи прилагаются.
-
Сообщение от
ivrmx
Зловредный экзешник видимо ещё в автозагрузке
Да. Выполните скрипт в безопасном режиме. Повторите логи.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\rmx\\appdata\\roaming\\vncmch.exe - Backdoor.Win32.Ruskill.rp ( DrWEB: Trojan.PWS.Multi.224, BitDefender: Backdoor.IRCBot.ADEO, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Kryptik-DLV [Trj] )
-