Показано с 1 по 11 из 11.

Файлы на флешке стали ярлыками [Trojan-Dropper.Win32.Agent.hjne ] (заявка № 138764)

  1. #1
    Junior Member Репутация
    Регистрация
    14.05.2013
    Сообщений
    9
    Вес репутации
    40

    Файлы на флешке стали ярлыками [Trojan-Dropper.Win32.Agent.hjne ]

    Если вставить любую флешку в компьютер, то все папки становятся скрытыми, и создаются их ярлыки. Так же вылетало окошко "вставьте диск в устройство \device\harddisk1\dr2".
    Пробовал удалять все ярлыки с флеш носителя, и файлы, которых раньше не было (с не понятным именем расширением .exe), приводил к нормальному виду (восстанавливал все атрибуты) все документы, но после повторного изъятие, все опять становилось ярлыками. Так же удалял все .exe(шники) в папке "C:\Users\"имя пользователя"\AppData\Roaming", но после перезагрузки они вновь появлялись.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Niceb0y, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Здравствуйте !!!

    Правила
    * Обязательно нужно запускать данные программы с правами администратора. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому необходимо нажать правой кнопкой на программу, выбрать пункт "Запустить от имени администратора" (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку "OK".
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\Windows\yndrive32.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\Windows\yndrive32.exe
    Выполните скрипт в AVZ:
    Код:
    begin
      ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      TerminateProcessByName('c:\windows\yndrive32.exe');
      TerminateProcessByName('c:\users\КГПУ\appdata\roaming\feba.exe');
      TerminateProcessByName('c:\users\КГПУ\appdata\roaming\7ef0.exe');
      QuarantineFile('c:\windows\yndrive32.exe','');
      QuarantineFile('C:\Users\КГПУ\AppData\Roaming\ScreenSaverPro.scr','');
      QuarantineFile('c:\users\КГПУ\appdata\roaming\feba.exe','');
      QuarantineFile('c:\users\КГПУ\appdata\roaming\7ef0.exe','');
      DeleteFile('C:\Windows\yndrive32.exe');
      DeleteFile('c:\users\КГПУ\appdata\roaming\feba.exe');
      DeleteFile('c:\users\КГПУ\appdata\roaming\7ef0.exe');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  5. #4
    Junior Member Репутация
    Регистрация
    14.05.2013
    Сообщений
    9
    Вес репутации
    40
    повторные логи
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    AVZPM - отключите.

    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\Users\КГПУ\AppData\Roaming\ScreenSaverPro.scr','');
     DeleteFile('C:\Users\КГПУ\AppData\Roaming\ScreenSaverPro.scr');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте полный образ автозапуска uVS

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    14.05.2013
    Сообщений
    9
    Вес репутации
    40
    карантин отправил, и вот полный образ автозапуска uVS
    Вложения Вложения

  9. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.77.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delall %SystemDrive%\USERS\КГПУ\APPDATA\ROAMING\583D.EXE
    delall %SystemDrive%\USERS\КГПУ\APPDATA\ROAMING\DAF5.EXE
    delall %SystemDrive%\USERS\КГПУ\APPDATA\ROAMING\MICROSOFT\OJEOEC.EXE
    zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-13259\PROXZY129.EXE
    delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-13259\PROXZY129.EXE
    delall %SystemDrive%\USERS\КГПУ\APPDATA\ROAMING\SCREENSAVERPRO.SCR
    zoo %SystemRoot%\YNDRIVE32.EXE
    delall %SystemRoot%\YNDRIVE32.EXE
    restart
    Сделайте новый лог uVS.

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    14.05.2013
    Сообщений
    9
    Вес репутации
    40
    Прошу прощения за долгий ответ, был не за компьютером.
    Выполнил скрипт в uVS, отправил, только архива не было, создавал сам.
    Ну и новый лог того же uVS

    Ну вроде бы проблема ушла, спасибо Вам большое за оказанную помощь, и за быстрые ответы!!! Ресурс обрадовал
    Единственный вопрос, есть еще один компьютер с подобным вирусом, это мне создавать отдельную тему я так понимаю?
    Вложения Вложения

  12. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.77.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delref %SystemDrive%\USERS\КГПУ\APPDATA\ROAMING\MICROSOFT\OJEOEC.EXE
    regt 5
    restart
    Скрипт добъет остатки от вируса и отключит автозапуск со съемных носителей, при наличии такого вируса это не помешает.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.


    Цитата Сообщение от Niceb0y Посмотреть сообщение
    Единственный вопрос, есть еще один компьютер с подобным вирусом, это мне создавать отдельную тему я так понимаю?
    Да, создавать новую тему.

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    14.05.2013
    Сообщений
    9
    Вес репутации
    40
    Выполнил новый скрипт, все замечательно, огромное вам спасибо! Только с нашим интернетом выкачать обновления к сожалению не удастся.
    Создал новую тему с аналогичной проблемой, но уже на другом компьютере.

  15. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\кгпу\\appdata\\roaming\\feba.exe - Worm.Win32.Luder.agsu ( BitDefender: Trojan.GenericKD.982895, AVAST4: Win32:Kryptik-LQL [Trj] )
      2. c:\\users\\кгпу\\appdata\\roaming\\screensaverpro. scr - Worm.Win32.Luder.agsu ( BitDefender: Trojan.GenericKD.982895, AVAST4: Win32:Kryptik-LQL [Trj] )
      3. c:\\users\\кгпу\\appdata\\roaming\\7ef0.exe - Trojan-Dropper.Win32.Agent.hjne ( BitDefender: Trojan.GenericKDV.945845, AVAST4: Win32:Downloader-SYZ [Trj] )
      4. c:\\windows\\yndrive32.exe - Trojan-Dropper.Win32.Agent.hjne ( BitDefender: Trojan.GenericKDV.945845, AVAST4: Win32:Downloader-SYZ [Trj] )
      5. \\zoo\\yndrive32.exe._8d7d3cca3b827f25b11d6774249f 40de96da0ecd - Trojan-Dropper.Win32.Agent.hjne ( BitDefender: Trojan.GenericKDV.945845, AVAST4: Win32:Downloader-SYZ [Trj] )


  • Уважаемый(ая) Niceb0y, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 03.09.2012, 18:40
    2. Ответов: 13
      Последнее сообщение: 26.07.2011, 02:32
    3. На флешке все папки стали ярлыками. (заявка №76972)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 09.06.2011, 21:00
    4. Папки на флешке стали ярлыками (заявка №73792)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 31.05.2011, 00:00
    5. Папки на флешке стали ярлыками (заявка №73504)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 29.05.2011, 06:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01439 seconds with 20 queries