Непонятные папки на USB-носителях и странный SCVVHSOT.exe [Trojan-Downloader.Win32.Andromeda.gto
]
Здравствуйте друзья!
Тысячу лет не мудрил с USB-флешками.На днях решил установить на одну из них набор portable-программ с запускателем.C уважаемого сайта (portableApps.com) скачал платформу и через неё некоторые программы и 2-3 игрушки portable-формата.В конце дня решил посмотреть на работу, на той флешке где установлены программы появились такие папки, на другой которая используется для хранения документации, аналогичная ситуация(см.скриншоты).Их удаляешь они появляются снова.К вышесказанному хочу добавить, что перестала запускаться программа Password Commander (хранитель паролей).Надеюсь ребята на Вашу поддержку и помощь.
И в заключении вопрос, как производить возможное лечение, со вставленными флешками или этот вирус на компьютере?
P.S. Да совсем забыл дополнить сообщение, перед процедурой безопасного извлечения, появляется сообщение о блокировании флешек исполняемым файлом SCVVHSOT.exe Я его вроде прибил, но что-то меня мучают сомнение, что не очень хорошо?! И ещё ребята, при удалении пустых папок на флешках, появляется диалог о том, что они не пусты.
Друзья жму руки Вам и надеюсь на квалифицированную помощь!
Спасибо большое! Вложение 408434
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Oleg_Mukhin, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте Никита!
Спасибо большое за помощь! После выполнения скрипта, все вышеописанные неприятности исчезли.
Прилагаю, Вами обозначенные, повторные логи AVZ и RSIT.
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
DeleteFileMask('C:\Documents and Settings\olmukh\Application Data\{64821D16-105C-4C7A-A89C-36AA41BD65F7}','*',true);
DeleteDirectory('C:\Documents and Settings\olmukh\Application Data\{64821D16-105C-4C7A-A89C-36AA41BD65F7}');
QuarantineFile('C:\Documents and Settings\olmukh\Application Data\B.exe','RSIT');
QuarantineFile('C:\Documents and Settings\olmukh\Application Data\48.exe','RSIT');
QuarantineFile('C:\Documents and Settings\olmukh\Application Data\44.exe','RSIT');
QuarantineFile('C:\Documents and Settings\olmukh\Application Data\3F.exe','RSIT');
DeleteFile('C:\Documents and Settings\olmukh\Application Data\B.exe');
DeleteFile('C:\Documents and Settings\olmukh\Application Data\48.exe');
DeleteFile('C:\Documents and Settings\olmukh\Application Data\44.exe');
DeleteFile('C:\Documents and Settings\olmukh\Application Data\3F.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine_2.zip.
Здравствуйте Никита!
Эх....Прошу прощения, я наступил по неосторожности на те же грабли, решил на флешке проверить программы, после отчистки от папок с расширением .exe появился запрос от firewall-a разрешить или запретить исходящий запрос, я был невнимателен и разрешил и опять куча папок с расширением .exe и процесс SVVHSOT.exe Посмотрите свежие логи. Флешку форматнул, больше всякую хрень засовывать не буду.Спасибо Вам за помощь и понимание ситуации.
- - - Добавлено - - -
Добрый день Никита!
Присоединяю логи с учётом присоединённой флешки, посмотрите пожалуйста Вашим опытным взглядом проблему? Спасибо.
- - - Добавлено - - -
Никита не подскажите как включить отображение Свойства папки в Панели управления.Куда-то она пропала
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
ExecuteWizard('TSW',2,2,true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine_3.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine_3.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
В МВАМ он отображается, это вредоносная программа.
Удалите в МВАМ:
Код:
Обнаруженные ключи в реестре: 3
HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB} (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB} (Trojan.BHO) -> Действие не было предпринято.
C:\Documents and Settings\olmukh\Local Settings\Application Data\Thinstall\Cache\Stubs\d233f1e93dc842a63daca0a89fa14011a7af9\Splash Screen.exe (Trojan.Backdoor) -> Действие не было предпринято.
I:\RECYCLER\855366bc.exe (Trojan.FakeMS) -> Действие не было предпринято.
Никита Соловьев!
Большое спасибо за помощь и поддержку, всё удалилось нормально.Свойства папки появились в панели управления.Флешка больше не глючит.Добра и счастья Вам.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: