Папки как .ехе и Trojan.Win32.Agent2.cyoz

[blinkee]

Здравствуйте, недавно понёс свой жесткий диск к другу и переустановил ему комп через мой hdd, после чего некоторые папки стали открываться как .ехе. видом ничем от папок не отличаются но в свойствах видно что это приложения с размером в 721 кб, также не могу посмотреть скрытые папки, настройки папок просто не применяются. AVZ видит всё, находит какой то вирус Trojan.Win32.Agent2.cyoz, который вроде создаёт файлы sdata.bak, для удаления которых требует перезагрузку. После перезагрузки ничего не меняется, повторные проверки дают всё те же результаты. При входе в безопасный режим выводит BSOD..Просьба помочь с этим недугом..

[Info_bot]

Уважаемый(ая) blinkee, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then
     Result := Result or 8;
   end;
  end;
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 StopService('kfsmbpx');
 QuarantineFile('C:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP2\A0013446.dll','');
 QuarantineFile('C:\Documents and Settings\Home\Шаблоны\Brengkolang.com','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\srtserv\Arhievement.exe','');
 QuarantineFile('C:\WINDOWS\system32\02.tmp','');
 DeleteFile('C:\WINDOWS\system32\02.tmp');
 DeleteFile('C:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP2\A0013446.dll');
 DeleteService('kfsmbpx');
BC_ServiceKill('lfltmh');
BC_ServiceKill('nxxhxuw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Обязательно установите все новые обновления для Windows, у вас Kido.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

+ Сделайте лог GMER

[blinkee]

Спасибо, теперь я могу видеть скрытые файлы, ничего более не изменилось, АВЗ находит всё те же вирусы, никуда они не ушли, всё выполнил как написано...На компе очень важная информация, не хотел бы чтобы чтото удалилось...((карантин отправил. Забыл дополнить, что при установки любого дистрибутива от майкрософт и игр, выходит ошибка установки во время её процесса..часты при включении программ выходит ошибка...

[regist]

Для начала пока установите хотя бы эти заплатки :
MS08-067
MS08-068
MS09-001

без этого этот вирус не вылечить. Этот компьютер единственный или есть ещё работающие с ним в сетке ?

[Nikkollo]

Файл virusinfo_cure.zip не прикладывайте к свом сообщениям.

[regist]

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users.windows\application data\srtserv\arhievement.exe');
 QuarantineFile('c:\documents and settings\all users.windows\application data\srtserv\arhievement.exe','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\srtserv\sdata.dll','');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\srtserv\sdata.dll');
 DeleteFile('c:\documents and settings\all users.windows\application data\srtserv\arhievement.exe');
 QuarantineFileF('c:\documents and settings\all users.windows\application data\srtserv\','*', true,'',0 ,0);
 DeleteFileMask('c:\documents and settings\all users.windows\application data\srtserv\', '*', true);
 DeleteDirectory('c:\documents and settings\all users.windows\application data\srtserv\',' ');
 ExecuteRepair(10);
 ExecuteWizard('TSW',2,3,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log (другие файлы прикреплять не надо, а virusinfo_cure.zip - это карантин !)

+ Сделайте лог полного сканирования МВАМ.

[blinkee]

При переходе выдаёт ошибку 404, на сайте нет такого контента, этот компьютер единственный в сети, дома стоит. Не вылечить? А какой вред этот вирус наносит?

[regist]

При переходе выдаёт ошибку 404

у меня тоже ... хотя ссылки уверен, что правильные .

тогда откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[blinkee]

Спасибо, сделал повторные логи, вроде нет ничего подозрительного после скана авз.. Но вот вопрос, вирус скрыл мои папки и сделал .ехе пути к ним, т.е. я могу видеть папки(когда включаю соотвествующий пункт в настройках папок) но также у меня есть .ехе копии папок, с такими же названиями, только в виде приложений, стоит ли мне удалить эти .ехе копии(каждая по 721 кб)?
Также, не получается устанавливать различный дистрибудив от майкрософт и игры, это также из-за вируса?
Прикрепил все нужные файлы, посмотрел лог от mbam, конечно прога полезная, но не для новичков, она предлагала мои крэки и трейнеры удалить

[blinkee]

Также выполнил скрипт из ScanVuln.txt и устранил уязвимости путём обновления по ссылкам, отличная штука))

[regist]

Выполните скрипт в АВЗ -

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);
 QuarantineFile('C:\Documents and Settings\Home\Шаблоны\Brengkolang.com','');
 DeleteFile('C:\Documents and Settings\Home\Шаблоны\Brengkolang.com');
 DeleteFile('C:\WINDOWS\Tasks\At1.job');
QuarantineFile('E:\Anonymous7.exe','');
QuarantineFile('E:\;vbhil;uh.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\install.exe','');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Удалите в MBAM только

Код:

Обнаруженные ключи в реестре:  2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (Trojan.Agent) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
Обнаруженные папки:  4
C:\Documents and Settings\Home\Local Settings\Application Data\Bron.tok-12-20 (Worm.Brontok) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-11 (Worm.Brontok) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-12 (Worm.Brontok) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-16 (Worm.Brontok) -> Действие не было предпринято.
Обнаруженные файлы:  49
C:\Documents and Settings\Default User.WINDOWS\install.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP2\A0013454.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP3\A0013602.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP3\A0013626.exe (Trojan.Dropper) -> Действие не было предпринято.

+ если вам не знакомы, то также удалите

Код:

E:\;vbhil;uh.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\AMD.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Anonymous7.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Documents and Settings.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\driversx86.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Games (part 2).exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Learning Square.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\PerfLogs.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\sampl_[tfile.ru].exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Windows.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Windows7.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\АЛИ.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\driversx86\Graphics_B_x86_1001\S3\3\s3hlputl.exe (Backdoor.IRCBot.FB) -> Действие не было предпринято.
F:\Arhievement.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\Distributiv.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\Games.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\Install games.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\АЛИ.exe (Trojan.Dropper) -> Действие не было предпринято.

с такими же названиями, только в виде приложений, стоит ли мне удалить эти .ехе копии(каждая по 721 кб)?

удалите все эти - ехе папки.

Сделайте новый лог полного сканирования MBAM.

и диск G:\ это у вас что ?

[blinkee]

Выполнил сканы, авз более никаких угроз не видет, что радует)Несколько раз делал сканирование в МВАМ(1.5 часа за полный скан берёт), постаянно находит вирусы, удалил всё как нужно, теперь делаю последний скан, но уже только на дисках E: и F:, так как на других дисках вирусов не находит.. Диск G: это ещё один раздел с системой, всего сейчас у меня 5 разделов: С и D это родные с этого компа, а E, F, G это мой жесткий диск, вытащил со своего второго компа, который пока по почте идёт, тут у меня две системы, вин7 и вин ХР, раздел F только для "не системных" файлов, но пришлось и на E, G чтото скопировать, так как места мало...
Сейчас делаю последний скан а МВАМ, и пришлю позже, надеюсь ничего существенного не найдёт..хочу сказать большое спасибо всем кто мне помог, буду советовать всем этот сайт)))
Последний вопрос: По прежнему программы вылетают сами по себе, и ошибка сrc при установки любого самораспаковывающегося приложения, вес которого более 1Гб...
Update
Прикрепил лог МВАМ
Update 2
Никак не могу сделать папки, с которых вирус сделал .ехе, не скрытыми, там в свойствах стоит галочка на "только чтение" а снять галочку со "скрытый" нельзя, она попросту серая, если убрать аттрибут чтения, то после этог если повторно посмотреть на аттрибуты, то снова стоит галочка на "только чтение" ((

[thyrex]

Никак не могу сделать папки, с которых вирус сделал .ехе, не скрытыми, там в свойствах стоит галочка на "только чтение" а снять галочку со "скрытый" нельзя, она попросту серая

Попробуйте изменить атрибуты с помощью Total Commander

[blinkee]

Попробуйте изменить атрибуты с помощью Total Commander

Никак не удаётся снять аттрибут "только чтение", папка перестаёт быть скрытой но аттрибут только чтение всеравно никак не снять, даже через Total Commander..

[Techno]

http://support.microsoft.com/?kbid=326549

[blinkee]

http://support.microsoft.com/?kbid=326549

То есть, этот аттрибут почти никак не влияет на работу файлов внутри папок, и даже не стоит пытатся убрать "только для чтения" ?

[Techno]

Да. Проблемы какие-нибудь есть?

[blinkee]

Нет, вроде нормально функционирет.. Но я заметил ну очень странную особенность, когда я печатаю и идёт сканирование авз, если я ненадолго перестаю печать, но оставляю строку ввода, через некоторое время само по себе начинается писатся "еуые" в многократном количистве, например так:
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
У меня аж муражки по коже
П.с. авз угроз не обнаруживает)

[regist]

когда я печатаю и идёт сканирование авз,

а зачем вы печатаете во время сканирования AVZ , сказано же в правилах закрыть все программы !
зы. это нормально.