-
Junior Member
- Вес репутации
- 53
Вирус скрывает папки на флешке
Здравствуйте! Помогите пожалуйста! В системе завелся вирус, NOD32 ни чего не лечит. После подключения флешки (любой) на ней скрываются все папки, создаются их ярлыки. Также переодически антивирус выдает "файл http:/pasic.fileave.com/01df5db9136d29fcf53c4fd2ff9d4af6.exe модифицированный Win32/Injector.HIY троянская программа соединение прервано - изолирован Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\explorer.exe."
P.S. скрипт лечения\карантина делал в безопасном режиме, т.к. в нормальном, AVZ самопроизвольно закрывался во время выполнения скрипта
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Lexxicon, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
terminateprocessbyname('C:\Users\lexx\AppData\Local\Temp\svchost.exe');
QuarantineFile('C:\Users\lexx\AppData\Local\Temp\svchost.exe','');
QuarantineFile('C:\Users\lexx\appdata\local\temp\svchost.exe','');
QuarantineFile('C:\Program Files\relevantknowledge\rlvknlg.exe','');
QuarantineFile('C:\Users\lexx\vogr.exe','');
QuarantineFile('C:\Users\lexx\AppData\Roaming\Arpgpg.exe','');
DeleteFile('C:\Users\lexx\AppData\Roaming\Arpgpg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Arpgpg');
DeleteFile('C:\Users\lexx\vogr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Program Files\relevantknowledge\rlvknlg.exe');
DeleteFile('C:\Users\lexx\appdata\local\temp\svchost.exe');
DeleteFile('C:\Users\lexx\AppData\Local\Temp\svchost.exe');
DeleteFileMask('C:\Users\lexx\AppData\Local\Temp', '*.*', true);
DeleteFileMask('C:\Program Files\relevantknowledge', '*.*', true);
DeleteDirectory('C:\Program Files\relevantknowledge');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 53
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Users\lexx\AppData\Roaming\5C82.exe', 'MBAM: Trojan.Dropper.SFX');
QuarantineFile('c:\Users\lexx\AppData\Roaming\DAC7.tmp', 'MBAM: Backdoor.IRCBot.Gen');
QuarantineFile('c:\Users\lexx\AppData\Roaming\B2D3.exe', 'MBAM: Trojan.Dropper.SFX');
QuarantineFile('c:\Users\lexx\AppData\Roaming\B993.tmp', 'MBAM: Backdoor.IRCBot.Gen');
QuarantineFile('d:\documents and settings\User\local settings\application data\thinstall\Cache\Stubs\63352ac75c9ef42e9bb9664824959970cf1c6f\IS360srv.exe', 'MBAM: Trojan.Backdoor');
QuarantineFile('d:\WINDOWS\system32\system drive\Beclickz.dll', 'MBAM: Backdoor.IRCFlood');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Value: NoFolderOptions -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Trojan.Agent) -> Value: Tok-Cirrhatus -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
Зараженные папки:
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge (Spyware.MarketScore) -> No action taken.
Зараженные файлы:
c:\Users\lexx\AppData\Roaming\5C82.exe (Trojan.Dropper.SFX) -> No action taken.
c:\Users\lexx\AppData\Roaming\DAC7.tmp (Backdoor.IRCBot.Gen) -> No action taken.
c:\Users\lexx\AppData\Roaming\B2D3.exe (Trojan.Dropper.SFX) -> No action taken.
c:\Users\lexx\AppData\Roaming\B993.tmp (Backdoor.IRCBot.Gen) -> No action taken.
c:\Users\lexx\Desktop\avz4\avz4\quarantine\2011-07-05\avz00001.dta (PUP.PSWTool.ProductKey) -> No action taken.
c:\Windows\System32\61417A\cnvpe.fne (Worm.Autorun) -> No action taken.
c:\Windows\System32\61417A\com.run (Trojan.Agent) -> No action taken.
c:\Windows\System32\61417A\eAPI.fne (Worm.Autorun) -> No action taken.
c:\Windows\System32\61417A\internet.fne (Trojan.Agent) -> No action taken.
c:\Windows\System32\61417A\krnln.fnr (Trojan.Agent) -> No action taken.
c:\Windows\System32\61417A\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\Windows\System32\61417A\spec.fne (Trojan.Autorun) -> No action taken.
c:\Windows\System32\secupdat.dat (Backdoor.Bot) -> No action taken.
c:\Users\lexx\secupdat.dat (Worm.Autorun) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\about relevantknowledge.lnk (Spyware.MarketScore) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\privacy policy and user license agreement.lnk (Spyware.MarketScore) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\Support.lnk (Spyware.MarketScore) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\uninstall instructions.lnk (Spyware.MarketScore) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\lexx\\appdata\\local\\temp\\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )
-