Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Вирус создает файлы на флешке, отключает службы защиты. [Worm.Win32.Ngrbot.agnc ] (заявка № 164904)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9

    Thumbs up Вирус создает файлы на флешке, отключает службы защиты. [Worm.Win32.Ngrbot.agnc ]

    Здравствуйте.
    Компьютер заражен вирусом через флешку. На ней при подсоединении к компьютеру вместо находящихся на ней файлов появляются их ярлыки и exe-файл с названием из строчных и прописных латинских букв, название всегда разное. Этот файл быстро исчезает. Если открыть ярлык, открывается программа cmd с записью "Скопировано файлов: 1", а также сама папка. Еще на флешке появляется ярлык папки System_Volume_Informaton. После того, как начали появляться ярлыки на флешке, на компьютере стали отключаться службы Брэндмауэр Windows и Центр обеспечения безопасности. Пожалуйста, скажите, что можно с этим сделать.
    В инструкции по оформлению запроса о помощи сказано, что с 64-битной системой не надо выполнять п. 1. Значит ли это, что нужно только 2 файла логов?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Беслан Салихов, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\Users\q\AppData\Roaming\Identities\Vdckcf.exe','');
     QuarantineFile('C:\Users\q\AppData\Local\Temp\kusadtylds.exe','');
     QuarantineFile('C:\Users\q\AppData\Local\Temp\Adobe\Reader_sl.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4491894\b4519911.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4187714\v287941.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413341394\v2341.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v211941.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v2111941.exe','');
     QuarantineFile('C:\ProgramData\CreativeAudio\jtkyyvgiu.exe','');
     QuarantineFile('C:\PROGRA~3\mslgcnm.exe','');
     DeleteFile('C:\PROGRA~3\mslgcnm.exe','32');
     DeleteFile('C:\ProgramData\CreativeAudio\jtkyyvgiu.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v2111941.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v211941.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413341394\v2341.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4187714\v287941.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4491894\b4519911.exe','32');
     DeleteFile('C:\Users\q\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
     DeleteFile('C:\Users\q\AppData\Local\Temp\kusadtylds.exe','32');
     DeleteFile('C:\Users\q\AppData\Roaming\Identities\Vdckcf.exe','32');
    ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Буква диска, относящаяся к флэшке, какая?
    WBR,
    Vadim

  6. Vvvyg получил(а) благодарность за это сообщение от


  7. #4
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9
    Буква Е.

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Карантин загрузите.

    Скачайте программу Universal Virus Sniffer (UVS).

    Вставьте заражённую флэшку и Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    adddir e:
    adddir C:\RECYCLER
    adddir C:\Users\q\AppData\Roaming
    crimg
    В папке с UVS будет автоматически создан образ автозапуска и упакован в архив с расширением .7Z с именем вида COMP_2014-08-14_14-40-40 (ИмяКомпьютера_Дата_Время.7Z). Прикрепите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. #6
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9
    Карантин загрузил.
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    adddir e:
    adddir C:\RECYCLER
    adddir C:\Users\q\AppData\Roaming
    
    zoo  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413114\V210141.EXE
    addsgn 1A1E249A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 16 Trojan/Win32.Caphaw.1 [AhnLab-V3]
    
    ; C:\PROGRAMDATA\MSLGCNM.EXE
    ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413114\V21041.EXE
    addsgn 1ADE229A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 8 Trojan/Win32.Caphaw.2 [AhnLab-V3]
    
    zoo  C:\USERS\Q\APPDATA\ROAMING\B3FC.EXE
    zoo  E:\CSUUNBD.EXE
    addsgn 1ABE239A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 16 Trojan/Win32.Caphaw.3 [AhnLab-V3]
    
    zoo  C:\USERS\Q\APPDATA\ROAMING\34C4.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\3F84.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\4937.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\B7AA.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\BCD6.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\C731200
    zoo  C:\USERS\Q\APPDATA\ROAMING\C830.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\D8CA.EXE
    
    chklst
    delvir
    
    delref %SystemDrive%\USERS\Q\APPDATA\ROAMING\IDENTITIES\VDCKCF.EXE
    delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\JTKYYVGIU.EXE
    deldirex %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413114
    deldir %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO
    
    deltmp
    czoo
    restart
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Снова выполните скрипт из сообщения #5, получившийся новый (смотрите по дате) полный образ автозапуска uVS загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  11. #8
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9
    Архив ZOO_... не появился, только папка ZOO, но она вроде пустая. Отправил ее согласно инструкции.
    http://rghost.ru/57465163

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,558
    Вес репутации
    708
    Выполните скрипт в uVS и пришлите карантин (если будет)

    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    BREG
    zoo %SystemDrive%\USERS\Q\APPDATA\ROAMING\C731200
    delall %SystemDrive%\USERS\Q\APPDATA\ROAMING\C731200
    zoo NNKZCPSAQW.EXE
    delall NNKZCPSAQW.EXE
    bl 5A67C20C9885E71C6E3C89FA6083AF08 133632
    zoo %SystemDrive%\PROGRAMDATA\MSLGCNM.EXE
    delall %SystemDrive%\PROGRAMDATA\MSLGCNM.EXE
    delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-418713714\V12873941.EXE
    delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41873714\V2873941.EXE
    delall %SystemDrive%\USERS\Q\APPDATA\ROAMING\IDENTITIES\VDCKCF.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delall %SystemDrive%\USERS\Q\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
    deltmp
    czoo
    restart
    сделайте новый образ автозапуска.

  13. regist получил(а) благодарность за это сообщение от


  14. #10
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    ; C:\PROGRAMDATA\MSLGCNM.EXE
    addsgn 1A1E249A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 16 Trojan/Win32.Caphaw [AhnLab-V3]
    
    adddir e:
    adddir C:\RECYCLER
    adddir C:\Users\q\AppData\Roaming
    
    ;------------------------autoscript---------------------------
    
    sreg
    
    chklst
    delvir
    
    delref %SystemDrive%\USERS\Q\APPDATA\LOCAL\TEMP\KUSADTYLDS.EXE
    delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\NDTCRVGIU.EXE
    deltmp
    
    areg
    
    ;-------------------------------------------------------------
    После перезагрузки - новый образ автозапуска + добавьте во вложения к теме логи выполнения скриптов UVS - текстовые файлы, имя состоит из даты и времени выполнения, упакуйте их в архив и сюда.
    WBR,
    Vadim

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,558
    Вес репутации
    708
    + забыл вам сразу написать. Обязательно смените все пароли, после лечения смените ещё раз.

  17. #13
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9
    Скрипт нужно выполнить со вставленной флешкой?

  18. #14

  19. #15
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9
    Да, диск Е - флэшка. Стоит ли это сделать с каждой зараженной флешкой? Их две штуки.

  20. #16

  21. #17
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9
    http://rghost.ru/57468109
    Вложения Вложения

  22. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,558
    Вес репутации
    708
    Выполните скрипт с подлючённой флешкой (той что вставляли при создание образа) карантин пришлите

    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    BREG
    bl B0305EA7B1BF2654305B299C70804392 197632
    zoo E:\CSUUNBD.EXE
    delall E:\CSUUNBD.EXE
    czoo
    restart
    Сделайте свежий лог uVS.

  23. #19
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    9
    Отправил карантин
    Вложения Вложения

  24. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,558
    Вес репутации
    708
    Лог нужен как написано в посте http://virusinfo.info/showthread.php...=1#post1148844
    пока сделайте с этой же флешкой (убедимся, что её полностью очистили), потом посмотрим вторую.

  • Уважаемый(ая) Беслан Салихов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 16.06.2014, 22:29
    2. Карантин CFEDBC1937E86BEB8B6638DC1CE70C47 [Worm.Win32.Ngrbot.xbk, Worm.Win32.Ngrbot.acii, Trojan.Win32.Inject.ltlp ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 12.04.2014, 08:25
    3. Ответов: 5
      Последнее сообщение: 10.11.2013, 23:14
    4. Ответов: 54
      Последнее сообщение: 10.10.2013, 13:10
    5. Ответов: 16
      Последнее сообщение: 28.09.2013, 21:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01178 seconds with 22 queries