Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Создаются ярлыки на флешке и файлы становятся скрытыми [Worm.Win32.AutoRun.eyml ] (заявка № 137590)

  1. #1
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40

    Создаются ярлыки на флешке и файлы становятся скрытыми [Worm.Win32.AutoRun.eyml ]

    Здравствуйте! Очень срочно нужна помощь. На флешке стали создаваться ярлыки папок, а сами папки становятся невидимыми. С помощью bat-файла возможно сделать папки видимыми, но не надолго, и ярлыки так и не удаляются. В свойствах ярлыков прописан запуск файла OUxpjrRrBqXWwru.exe через cmd. Также на флешке появилась папка Trashes. Также блокируется доступ на сайт F-secure.
    Проверка Cure IT, AVZ, NOD никаких результатов не дала.
    Очень надеюсь на вашу помощь!

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) SugaRock, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Здравствуйте !!!

    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteAVUpdate;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\Documents and Settings\1\ms.exe','');
      QuarantineFile('C:\WINDOWS\system32\80.exe','');
      QuarantineFile('C:\WINDOWS\system32\58.exe','');
      QuarantineFile('C:\WINDOWS\system32\50.exe','');
      QuarantineFile('C:\WINDOWS\system32\46.exe','');
      QuarantineFile('C:\WINDOWS\system32\34.exe','');
      QuarantineFile('C:\WINDOWS\system32\31.exe','');
      QuarantineFile('C:\WINDOWS\system32\20.exe','');
      QuarantineFile('C:\WINDOWS\system32\08.exe','');
      QuarantineFile('C:\WINDOWS\system32\04.exe','');
      QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe','');
      QuarantineFile('C:\Documents and Settings\1\Application Data\ScreenSaverPro.scr','');
      QuarantineFile('C:\Documents and Settings\1\Application Data\Microsoft\Mxyeyq.exe','');
      DeleteFile('C:\Documents and Settings\1\Application Data\Microsoft\Mxyeyq.exe');
      DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe');
      DeleteFile('C:\WINDOWS\system32\04.exe');
      DeleteFile('C:\WINDOWS\system32\08.exe');
      DeleteFile('C:\WINDOWS\system32\20.exe');
      DeleteFile('C:\WINDOWS\system32\31.exe');
      DeleteFile('C:\WINDOWS\system32\34.exe');
      DeleteFile('C:\WINDOWS\system32\46.exe');
      DeleteFile('C:\WINDOWS\system32\50.exe');
      DeleteFile('C:\WINDOWS\system32\58.exe');
      DeleteFile('C:\WINDOWS\system32\80.exe');
      DeleteFile('C:\Documents and Settings\1\ms.exe');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mxyeyq');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте лог полного сканирования MBAM

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Вот логи, карантин отправил.

    Сюда карантин случайно прикрепил, извиняюсь!

    virusinfo_syscheck.zip

    MBAM-log-2013-04-22 (17-49-47).txt
    Последний раз редактировалось SugaRock; 23.04.2013 в 01:22.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от SugaRock Посмотреть сообщение
    Вот логи, карантин отправил.

    Сюда карантин случайно прикрепил, извиняюсь!
    Так удалите вложение!
    Удалите в MBAM всё, кроме:
    Код:
    C:\Program Files\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
    Сделайте полный образ автозапуска uVS.
    Сделайте логи RSIT.
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Всё сделал как вы сказали.

    SUFD_2013-04-23_11-07-46.7z

    info.txt

    log.txt

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в uVS
    Код:
    ;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    ; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
    addsgn 925277AA116AC1CC0B34554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BAC1F523E021E8A2FD3EC96831749ACFE1CEC21051DB32F2D75A4BF5796B2E3 16 Worm.Win32.AutoRun.eyml [Kaspersky]
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
    zoo E:\DEL.BAT
    delall E:\DEL.BAT
    ; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
    chklst
    delvir
    exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
    deltmp
    restart
    Компьютер перезагрузится.
    information

    Уведомление

    Данный скрипт удалит Java, т. к. в установленной версии имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 21. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.



    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в окошке с датой под главным меню установите галочку и дату 21.04.2013. Далее - "Файл" -> "Добавить в список все исполняемые файлы в каталогах не старше указанной даты...", после того, как список будет создан - Файл" -> "Сохранить полный образ автозапуска". Прикрепите файл с образом к своему следующему сообщению (если нет места для вложений - на rghost.ru и ссылку).
    WBR,
    Vadim

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Огромнейшее Вам спасибо за помощь!

    ZOO загрузил.

    SUFD_2013-04-23_15-31-07.7z

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    192.168.0.1:3128 - сами прописывали ?

    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
    ; C:\WINDOWS\SYSTEM32\36.EXE
    addsgn 925277EA056AC1CC0B74414E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Backdoor.Win32.Azbreg.ucc [Kaspersky]
    
    zoo %Sys32%\36.EXE
    ; C:\WINDOWS\SYSTEM32\06.EXE
    zoo %Sys32%\06.EXE
    ; C:\WINDOWS\SYSTEM32\40.EXE
    zoo %Sys32%\40.EXE
    ; C:\WINDOWS\SYSTEM32\47.EXE
    zoo %Sys32%\47.EXE
    ; C:\WINDOWS\SYSTEM32\50.EXE
    zoo %Sys32%\50.EXE
    ; C:\WINDOWS\SYSTEM32\57.EXE
    zoo %Sys32%\57.EXE
    ; C:\WINDOWS\SYSTEM32\84.EXE
    zoo %Sys32%\84.EXE
    ; C:\WINDOWS\SYSTEM32\85.EXE
    zoo %Sys32%\85.EXE
    bl B4A6BC4097EC2300BDD3AABBF2569E8B 59904
    ; C:\WINDOWS\SYSTEM32\44.EXE
    addsgn 925277AA026AC1CC0B34464E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Backdoor.Win32.Azbreg.ubw [Kaspersky]
    
    zoo %Sys32%\44.EXE
    bl 085F286A6F2C31943AFF11F301684B74 41984
    chklst
    delvir
    restart
    сделайте новый лог uVS

  13. #10
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    192.168.0.1:3128 - да, это сам.

    Карантин прислал.
    Java заново установил, так как необходима для работы бухгалтерской программы.


    SUFD_2013-04-23_17-03-35.7z

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от SugaRock Посмотреть сообщение
    192.168.0.1:3128 - да, это сам.
    Java заново установил, так как необходима для работы бухгалтерской программы.
    Так установите последний билд, ссылку на загрузку я выше дал.

    Загрузите систему в безопасном режиме и выполните скрипт в uVS:
    Код:
    ;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    offsgnsave
    ; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
    addsgn 925277AA116AC1CC0B34554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BAC1F523E021E8A2FD3EC96831749ACFE1CEC21051DB32F2D75A4BF5796B2E3 16 Worm.Win32.AutoRun.eyml [Kaspersky]
    
    ; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
    chklst
    delvir
    restart
    После перезагрузки сделайте новый образ автозапуска. Если нет места для вложений - на rghost.ru его и ссылку сюда.
    WBR,
    Vadim

  15. #12
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Карантин отправил.

    Образ:
    http://rghost.ru/45493393

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
    restart
    Сделайте лог ComboFix

  17. #14
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Вот.

    ComboFix.txt

  18. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Что с проблемой?
    WBR,
    Vadim

  19. #16
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Проблема вроде бы решена, но после перезагрузки иногда возникает на флешке файл Autorrrrinf без расширения, и папка RECYCLER. И было один раз что после перезагрузки USB Disc Security обнаружил на флешке файл OUxpjrRrBqXWwru.exe, и папки снова сделались скрытыми и появились ярлыки. Но в этот раз всё легко удалялось.

    И ещё, не знаю связано ли это с этим вирусом, но бывает выскакивает ошибка SVHOST и перестаёт работать соединение в местной программе Континент-АП.

  20. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Удалите ComboFix
    Сделайте новый полный образ автозапуска uVS из безопасного режима системы.
    WBR,
    Vadim

  21. #18
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488

  22. #19
    Junior Member Репутация
    Регистрация
    22.04.2013
    Сообщений
    16
    Вес репутации
    40
    Вот лог uVS.

    http://rghost.ru/45534284

  23. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от SugaRock Посмотреть сообщение
    Проблема вроде бы решена, но после перезагрузки иногда возникает на флешке файл Autorrrrinf без расширения, и папка RECYCLER. И было один раз что после перезагрузки USB Disc Security обнаружил на флешке файл OUxpjrRrBqXWwru.exe, и папки снова сделались скрытыми и появились ярлыки.
    Флэшка в другие компьютеры вставлялась?
    И Java обновите до 21-го билда.
    WBR,
    Vadim

  • Уважаемый(ая) SugaRock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 10.06.2011, 22:45
    2. Ответов: 2
      Последнее сообщение: 28.05.2011, 06:00
    3. на флешке создаются файлы с разрешением lnk (заявка №71296)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 17.05.2011, 21:00
    4. Ответов: 1
      Последнее сообщение: 12.04.2011, 04:20
    5. Ответов: 0
      Последнее сообщение: 23.05.2010, 17:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00537 seconds with 20 queries