-
Junior Member
- Вес репутации
- 47
ledykouk.exe часть 2 [Trojan.Win32.Scar.evdl
]
Пару месяцев назад обращался за помощью по поводу этого вредоносного файла http://virusinfo.info/showthread.php?t=124656
Выполнив рекомендуемый скрипт и успокоившись,что проблема устранена, недавно обнаружил, что данный файл снова пробрался на мой компьютер, что и диагностировал AVZ. Рекомендуемый AVZ скрипт по удалению файла не помогает, после перезагрузки файл появляется вновь на прежнем месте. Хотел отписаться в старую тему, но она оказалась закрытой. Поэтому попробую создать новую тему
Сделал необходимые логи:
Вложение 385463Вложение 385464Вложение 385465
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) enisei, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Обновите базы !
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ledykouk.exe');
QuarantineFile('L:\autorun.inf','');
QuarantineFile('c:\windows\system32\ledykouk.exe','');
DeleteFile('C:\WINDOWS\system32\ledykouk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jikah');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
если после скрипта пропадут симптомы, то не спешите убегать, а то возможен рецедив
-
-
Junior Member
- Вес репутации
- 47
Скрипты выполнил.
Карантин:
Файл сохранён как 121116_183518_quarantine_50a6876608447.zip
Размер файла 150418
MD5 ce22e00644d3a98bee3684be786b83c0
Логи
Вложение 385915Вложение 385916Вложение 385917
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\gyturyr.exe','');
QuarantineFile('C:\WINDOWS\hobio.sys','');
QuarantineFile('C:\WINDOWS\system32\vajahoo.exe','');
SetServiceStart('newdriver', 4);
DeleteService('newdriver');
QuarantineFile('C:\WINDOWS\nnnut.sys','');
TerminateProcessByName('c:\windows\system32\vajahoo.exe');
QuarantineFile('c:\windows\system32\vajahoo.exe','');
QuarantineFile('c:\windows\system32\cisvc.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\knshqvvwjrf565e684f.tmp');
QuarantineFile('c:\docume~1\admin\locals~1\temp\knshqvvwjrf565e684f.tmp','');
DeleteFile('c:\docume~1\admin\locals~1\temp\knshqvvwjrf565e684f.tmp');
DeleteFile('c:\windows\system32\vajahoo.exe');
DeleteFile('C:\WINDOWS\nnnut.sys');
DeleteFile('C:\WINDOWS\system32\vajahoo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jikah');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','foficyk');
DeleteFile('C:\WINDOWS\hobio.sys');
DeleteFile('C:\WINDOWS\system32\gyturyr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ все, кроме
Код:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\WINDOWS\system32\netsetup.exe (Virus.Expiro) -> Действие не было предпринято.
C:\WINDOWS\system32\dllcache\netsetup.exe (Virus.Expiro) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\Xenocode\Sandbox\Decrypter\0.8.5.0\2010.03.09T14.01\Virtual\STUBEXE\8.0.1112\@DESKTOP@\Decrypter_v0.8.5.0.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\Xenocode\Sandbox\Decrypter\0.8.5.0\2010.03.09T14.01\Virtual\STUBEXE\8.0.1112\@DOCUMENTS@\container-decrypter-0.8.1.2\Decrypter_v0.8.5.0.exe (Trojan.Agent) -> Действие не было предпринято.
D:\ScreenShot 3.1.exe (VirTool.Obfuscator) -> Действие не было предпринято.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
+ Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 47
Выполнил всё.
Карантин
Файл сохранён как 121121_183702_virus_50ad1f4ee1116.zip
Размер файла 37609
MD5 68ef4e64eed73f68823c3258fd98e07d
Логи
Вложение 386852Вложение 386851Вложение 386853
Сообщение от
regist
+ Проведите процедуру, которая описана
тут. Результат загрузки напишите в сообщении здесь.
Файл сохранён как 121121_183808_virusinfo_files_MICROSOF-3B1E8C_50ad1f908bc46.zip
Размер файла 11309208
MD5 85770c832d121cc4ff14da2b1b9e0fca
-
что с проблемой ?
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ledykouk.exe - Trojan.Win32.Scar.evdl ( DrWEB: Trojan.DownLoader5.837, BitDefender: Trojan.Generic.7008987, NOD32: Win32/Agent.OVY trojan, AVAST4: Win32:Malware-gen )
-