Вирус создает ярлыки на флешке

**МаратХ Хамзин** · 08.08.2014, 05:03

Простите за повтор, отправил другой файл во вложениях. Вирус создает ярлыки на флешке и не обновляет антивирус

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.08.2014, 05:04

Уважаемый(ая) МаратХ Хамзин, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Nikkollo** · 08.08.2014, 06:48

Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-61208711\zy126d0107.exe');
 TerminateProcessByName('c:\users\admin\appdata\local\temp\wtoazpovqwl.exe');
 TerminateProcessByName('c:\users\admin\appdata\local\temp\a1182.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-90811\75hg76.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-90624311\75455476.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-34212254\67788j1.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-3421154\618j1.exe');
 TerminateProcessByName('c:\users\admin\appdata\local\temp\5r72p.exe');
 ClearQuarantine;
 QuarantineFile('G:\Tracker Software\PDF-XChange 4\Drivers\PrnInstaller.exe','');
 QuarantineFile('C:\Program Files\Мобильный офис\USBDriverInstaller_x86.exe','');
 QuarantineFile('H:\софт\260.89_notebook_winvista_win7_64bit_international_whql.exe','');
 QuarantineFile('C:\Windows\System32\wsqmcons.exe','');
 QuarantineFile('C:\Users\Admin\smss.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Update\MSupdate.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Identities\ovcen\ovcen.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\wtoazpovqwl.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-34212254\67788j1.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6087311\7da5k656.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-61208711\zy126d0107.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-69024711\7d43ee3.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-69032111\7d43j31.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-69537311\7da5353.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-901137311\731j7376.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-90624311\75455476.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-90811\75hg76.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3421154\618j1.exe','');
 QuarantineFile('C:\ProgramData\CreativeAudio\xsytzecrn.exe','');
 QuarantineFile('C:\PROGRA~2\mslrzz.exe','');
 QuarantineFile('C:\PROGRA~2\mskey.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-61208711\zy126d0107.exe','');
 QuarantineFile('c:\users\admin\appdata\local\temp\wtoazpovqwl.exe','');
 QuarantineFile('c:\users\admin\appdata\local\temp\a1182.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-90811\75hg76.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-90624311\75455476.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-34212254\67788j1.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-3421154\618j1.exe','');
 QuarantineFile('c:\users\admin\appdata\local\temp\5r72p.exe','');
 DeleteFile('c:\users\admin\appdata\local\temp\5r72p.exe','32');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-3421154\618j1.exe','32');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-34212254\67788j1.exe','32');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-90624311\75455476.exe','32');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-90811\75hg76.exe','32');
 DeleteFile('c:\users\admin\appdata\local\temp\a1182.exe','32');
 DeleteFile('c:\users\admin\appdata\local\temp\wtoazpovqwl.exe','32');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-61208711\zy126d0107.exe','32');
 DeleteFile('C:\PROGRA~2\mskey.exe','32');
 DeleteFile('C:\PROGRA~2\mslrzz.exe','32');
 DeleteFile('C:\ProgramData\CreativeAudio\xsytzecrn.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','248552041');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1055042128');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3421154\618j1.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-90811\75hg76.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-90624311\75455476.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-901137311\731j7376.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-69537311\7da5353.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-69032111\7d43j31.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','73hf521');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-69024711\7d43ee3.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-61208711\zy126d0107.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6087311\7da5k656.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-34212254\67788j1.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','k186431');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','k886431');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7a8k771');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zy1725d0006');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','74ee3j1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','743433j1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7a453531');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','731j771');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','732521');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\wtoazpovqwl.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Identities\ovcen\ovcen.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Update\MSupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 DeleteFile('C:\Users\Admin\smss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss');
 DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Вирус создает ярлыки на флешке (заявка № 164505)

Опции темы

Вирус создает ярлыки на флешке

Похожие темы

помогите не вомгу удалить вирус который создает на флешке ярлыки [not-a-virus:Server-FTP.Win32.SFH.agv, Backdoor.Win32.Androm.wna ]

Троян - создает ярлыки на флешке, дублирующие папки, а сами папки скрывает

Вирус создает ярлыки вместо папок на флешке! Help!!!!

Метки для этой темы

Ваши права в разделе