Создаются ярлыки папок и файлов на USB-флешке. Меняется атрибут на скрытый [Trojan-Ransom.Win32.Blocker.ckap, , Worm.Win32.Ngrbot.uml ]

[mike 1]

1. Нажмите на клавиатуре Win+R => Введите regedit => Нажмите Enter => Откроется редактор реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg и удалите следующие параметры:

Код:

h1dljoba
MSNetDKNowiz
Pzjsjh
Screen Saver Pro 3.1
tsexta
tsfffa

2. Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;   
 QuarantineFile('E:\Disk_H\Загрузки\ariv_97697.exe','');
 QuarantineFile('F:\Install_Free\ДИАГНОСТИЧЕСКИЙ\ФЛЕШКА_2\1C Мои Документы\1c\каталог\программные_лицензия_1с.exe','');
 QuarantineFile('I:\Disk_G\OSTAPTCHUK\MAY_DOC\Macro\spread.exe','');
 QuarantineFile('I:\Disk_G\PC_GENA\Игры\40_Mini_Games\best-friends.exe','');
 QuarantineFile('I:\Disk_G\PC_GENA\Игры\Куриная месть. Первая разборка\миниигры\ружо.exe','');
 QuarantineFile('C:\Documents and Settings\Dum_Dum\Application Data\6.exe.gonewiththewings','');      
 DeleteFile('C:\Documents and Settings\Dum_Dum\Application Data\6.exe.gonewiththewings','32');           
 BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;    
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

Сделайте новые логи AVZ, RSIT

[VasilijIvanovich]

Для информатива: Скрипты выполняются только в "Безопасном режиме".

[mike 1]

Сделайте еще лог UVS (http://virusinfo.info/showthread.php?t=121767)

Что с проблемой кстати?

[VasilijIvanovich]

Не убитые вирусом флешки кончились. Проверяю немедля.....

- - - Добавлено - - -

Ура! И трижды еще Ура! Как Вы на форуме не призывали к сдержанности у выражении эмоций-удовлетворение от решении проблемы не скрыть. Проблема решена. Комп - не заражает флешки. Благодарность от меня последует одним из предлагаемых способов. Лог от UVS еще актуален?

[mike 1]

Да сделайте на всякий случай. Вдруг еще что нибудь найду интересное.

[VasilijIvanovich]

Делаю и этот лог. Еще. Это все 1/4 дела. Еще осталось три аналогично зараженных рабочих станций. Скажите, пожалуйста, сценарий "борьбы" с вирусом такой же или в силу наработки с эти компом есть возможность применить уникальный способ?

[mike 1]

Для каждого нового зараженного компьютера создайте отдельную тему т.к. скрипты уникальны для каждого компьютера.

[VasilijIvanovich]

Вопрос. А как поступить с теми зараженными рабочими станциями где интернет отсутствует (вместе с сетевыми платами)? Организовать на них интернет или же все логи возможно напосылать из иных с интернетом станций? Спасибо.

- - - Добавлено - - -

Т.е. исследуваемые логи из зараженных станций.

[mike 1]

Выполните скрипт в uVS:

Код:

;uVS v3.80.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

addsgn 1A01509A5583C58CF42B16A1B48812C684AAFEB789AC756CDB4605C9576E714E231728510593E04EA04627BF44574990798F00E97DDAB07574D4A4DD8706A7B3 8 Trojan-Ransom.Win32.Blocker.ckap

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DXAMOVNFH.EXE
bl 0AE2E4D9E7B3EC84AFB2EFD23992F57B 103936
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DXAMOVNFH.EXE
addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959F778C4C34CB1B4D6304CAA0223577F551454F780C59FCF2391FA3CDF614F81DAF12C4BFBB12FC6472215 8 BackDoor.Kuluoz.4 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DUM_DUM\APPLICATION DATA\TEMP.BIN
bl C2787E4E3B95E0057277EB1261E02D84 168448
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DUM_DUM\APPLICATION DATA\TEMP.BIN
zoo %SystemDrive%\PROGRAM FILES\LIGHT ALLOY\UNINST.EXE
exec "C:\Program Files\smwdgt\unins000.exe"
chklst
delvir

deltmp
restart

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог UVS.

[VasilijIvanovich]

Невозможно прислать лог UVS LULU_2013-10-02_20-20-56.zip (486 kb) через менеджер вложений. Последний выдает ошибку о превышениии размера. Действительно, отображает "936.4 Кб of 976.6 Кб Used". Как очистить от ранее загруженных вложений? Спасибо.

[mike 1]

Загрузите образ UVS на http://www.rghost.ru полученную ссылку прикрепите.

Как удалить старые вложения?

[VasilijIvanovich]

Загрузил образ UVS через Менеджер вложений.

[mike 1]

Выполните скрипт в uVS:

Код:

;uVS v3.80.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

delref ALCTEXADEXMQAXMTEAAAAAFRHX8F/X8FH/8FHX//HX8F/X8FH/8FHX//HX8F/X8FH/8FHX//HX8F/VR6+7H4EHMQAAAAQX8FHAMFHXWAAAABXY8VL/8VLY/+ULM3/AADU/4+PZV/LY8V/G4PO/WWM0//LY8V/Y8VL/8VLY/+KPKS6AAAAM8VLYWDLY8SAAAAAU9DQ0P/Q0ND/0NDQ/05O2F8DHD3/Y8VQ/4EH1F8MDN7/0NDQ/9DQ0P/Q0ND/0NDQ/2VLZXSAAAAK0NDQAAAAAE/U1NT/1NTU/9TU1P/FXDB/FBTQ/3BW3/+JIDZ/DAZR/9TU1P/U1NT/1NTU/9TU1P/JYCNKDW8PUWAAAACAAABL2DNZ/9NZ2F/Z2DN/2DNZ/4WF5F8KCVB/ODJV/W0N9F/Z2DN/2DNZ/9NZ2F/Z2DN/2DNZ/6IOQKYAAAAQAAAASOLI4V/I4UL/4ULI/6IO6V8LC/7/QKL2/ZO69/8NDF3/4ULI/+LI4V/I4UL/4ULI/+LI4V/G4OD7AAAARGAAAETX8FH/8FHX//HX8F81OVZ/BG/5//HX8F+FOVB/GB3+//HX8F/X8FH/8FHX//HX8F/X8FH/7+/V+WAAAEIAAABA9VB2//B29V/29VB/HSZ//7K3+F/29VB/QK35/YUZ/V/29VB/9VB2//B29V/29VB/9VB2/8JIYKMAAAAKAAAAPPN5+F/5+FN/+FN5/Z5U/V+OSVV/+FN5/6+4+/80TP//+FN5//N5+F/5+FN/+FN5//DW8OMXFXDBAAAABGAAADJ7+/V/+/V7//V7+/+RO/3/UG7+/7/J/P+CRF3/Q2P///V7+//7+/V/+/V7//V7+/+TK5NNAAAAGFV7+WAAAAA1/F39//39/F/9/F3/9VJ9/4YK/V9TD///QWN//05Z///9/F3//F39//39/F/C3NYSAAAAH/39/QD9/F0AAAAAMV7+/V/+/V7//V7+//7+/V/+/V7//V7+//7+/V/+/V7//V7+//7+/V/5+FNPPJ4+PGAAAAN+/V4A/V7+AAAAACN39/FI////////////////////////////////////////////////TBW1CGAAABF///8A////AP///WAAAAAVAAAAKAAAAC4AAAAUAAAALGAAAC4AAAAUAAAALGAAAC4AAAAUAAAALGAAABV///8A////AP///WD///8AAA8AAAAHAAAAAWAAAAMAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAMAAAADAAAABWAAAA8AAA==\DATA:IMAGE/X-ICON;BASE64,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
restart

Компьютер перезагрузится.

Сделайте новый лог UVS.

[VasilijIvanovich]

Результат выполнения скрипта в UVS (не через "Прислать запрошенный карантин")

- - - Добавлено - - -

новый лог UVS.

[mike 1]

Что с проблемой?

[VasilijIvanovich]

Проверил Usb-флешу еще раз. Все в порядке. Комп не заражет. Все в порядке.

[mike 1]

1. Удалите MBAM через установка и удаление программ.

2. Выполните скрипт в АВЗ:

Код:

begin
ClearQuarantine;
end.

3.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[VasilijIvanovich]

Лог SecurityCheck.tx присылать?

[mike 1]

Да прикрепите его в теме.

[VasilijIvanovich]

Сделано.