Removable Disk.lnk на флэшке [HEUR:Trojan.Win32.Generic ]

[krolikov]

При открытии флэшки на ней создается ярлык Removable Disk (4GB).lnk все файлы перемещаются в скрытую папку, также создаются скрытые файлы, например autorun.inf.

Помогите разобраться!

[Info_bot]

Уважаемый(ая) krolikov, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\comp\Local Settings\Temp\ryekqxdjpvcioubhntagmszflryekqxk.com','');
 QuarantineFile('C:\Documents and Settings\comp\Local Settings\Temp\hntagmszflryekqxdjpvcioubhntagth.com','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccpoibbv.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccpoibbv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',3,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

[krolikov]

Спасибо, помогло.

[Vvvyg]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Policies\Explorer\Run: [38150] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccpoibbv.exe

Сделайте лог полного сканирования МВАМ с подключённой флэшкой.

[krolikov]

Выполнил. Найденные объекты МВАМ-ом удалять?

[Vvvyg]

Только это:

Код:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|38150 (Trojan.Agent) -> Параметры: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccpoibbv.exe -> Действие не было предпринято.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\comp\\local settings\\temp\\hntagmszflryekqxdjpvcioubhntagth.c om - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Andromeda.178, BitDefender: Gen:Variant.Graftor.107758, AVAST4: Win32:Malware-gen )
  2. c:\\documents and settings\\comp\\local settings\\temp\\ryekqxdjpvcioubhntagmszflryekqxk.c om - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Andromeda.178, BitDefender: Gen:Variant.Symmi.30719, AVAST4: Win32:Small-HTYZ [Trj] )
  3. c:\\docume~1\\alluse~1\\locals~1\\temp\\ccpoibbv.e xe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Andromeda.178, BitDefender: Gen:Variant.Symmi.30719, AVAST4: Win32:Small-HTYZ [Trj] )