Поймал вирус с флешки, который копирует папки на флешке в скрытые и создает ярлыки вируса с идентичными названиями папок.
Поймал вирус с флешки, который копирует папки на флешке в скрытые и создает ярлыки вируса с идентичными названиями папок.
Уважаемый(ая) needleq, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.82 script [http://dsrt.dyndns.org] adddir %SystemDrive%\USERS\HomePC\APPDATA\ROAMING crimg- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
- После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
есть
Внимание
Перезагрузитесь срочно в безопасный режим с поддержкой сети, есть вероятность, что шифровальщик работает.
- - - - -Добавлено - - - - -
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.83.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c ; C:\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE addsgn 1A18629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Ransom.ED [Malwarebytes] zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE ; C:\USERS\HOMEPC\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186600441\1D167R8.EXE ; C:\PROGRAMDATA\MSNLUDKA.EXE ; C:\USERS\HOMEPC\APPDATA\ROAMING\5092.EXE ; C:\USERS\HOMEPC\APPDATA\ROAMING\8094.EXE ; C:\USERS\HOMEPC\APPDATA\ROAMING\8875.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE addsgn 1AC8599A5583348CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 8 a variant of Win32/Injector.BNBY [ESET] zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\MBR.EXE ; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE ;------------------------autoscript--------------------------- chklst delvir ;------------------------------------------------------------- delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=26AB002522F64903 zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE delall %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE zoo %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\DOJTEBHZE.EXE delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\DOJTEBHZE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MYPC BACKUP\SIGNUP WIZARD.EXE deltmp delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\MBR.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-166110941\Z6106911.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131141841\Z6421311.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-84491331\1P17R8.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13518811\Z621YYS61.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13152841\Z62122S61.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344DQ8.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-981891\1345NA8.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-9818113121\13P3XXA8.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1688441\ES8101.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1683313441\ES101.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1477130\DA45774.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-175671130\DADQRO14.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-17567130\DAWPRO14.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18510\DA8KWN4.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-178510\DA78KWN4.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1510\DAKWJE4.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1733310\D133A31.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-173144410\D11334.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-124710\D14QA31.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1724710\D14Q7A31.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12473925\D4Q931.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1247325\D4QR531.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-127325\DQR531.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-127327\DQR37331.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12321413\DQR21RR31.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13261141\DQES931.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13491331\BA34R1E3.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1349131\A34R1E3.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11893101\AVT1RE3.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-134931\AVBBRE3.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1189301\AVT13X3.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1389301\AVT3X3.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13811BA0\A1GG23.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-138211301\AV1GG23X3.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13821101\AV1GG23X2.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1381101\AV1GG23X1.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13811BA0\AV1GG23.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1713234\3843214X.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-171234\384214X.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-17192234\38423214X.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10813330\A88BGG5.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1013330\ABGG5.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313IQ0\ABN1AQ5.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-101313530\AB5NZX5.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313IQ0\A1D3B1AQ5.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313IN420\A13B1AD45.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313530\AB5N1AQ5.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-103420\A11AD45.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1031420\A1B1AD45.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11013420\A114RSD45.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1013420\A11SD45.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1014563110\A1123X45.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10145120\A1123X145.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1013450\A1G2345.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1012710\A1GQC876.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-017710\ADBQC876.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1017710\ABDBQC876.EXE delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\JTPMPV.EXE czoo restart
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Выполните скрипт в uVS и пришлите карантин
после этого сделайте новый лог uVS по инструкции как написано здесь.Код:;uVS v3.83.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c BREG delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\JTPMPV.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\SPINTIRES\UNINSTALL\UNINS000.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE addsgn 1A064A9A5583348CF42B16E9148A12C6848A4AB489AC756CDB4605C9576E714E231728510593E04EA046279FF0544990798F004A46DAB07574D45C8A8506A7B3 8 Trojan.Win32.Yakes.gnqe [Kaspersky] zoo %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\WTNWKLOCT.EXE bl 56806EF3CD0B2B6E52B5A26B37F82501 352768 delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\WTNWKLOCT.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE chklst delvir czoo restart
Все сделал http://rghost.net/58421556
Выполните скрипт в uVS и пришлите карантин
сделайте новый образ автозапуска таким же образомКод:;uVS v3.83.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c BREG addsgn 1A18629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Win32.Inject.soei [Kaspersky] zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE bl 2DE58F6B618CE9E1CCA38F4401C5690E 260096 zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\5092.EXE bl 1A60D30DABCBA63730F3C11582A53894 113152 zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\8094.EXE zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\8875.EXE delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE delall %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE delall %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\JTPMPV.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE chklst delvir regt 28 regt 29 czoo restart
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM[/URL].
Удалите в MBAM (переместите в карантин) всё, кроме:+ майнеры не удаляйте, если сами пользуетесь.Код:D:\Stresstest5.rar (Backdoor.Bot) -> Действие не было предпринято. D:\WinSetup-1-0-beta7.rar (Backdoor.Bot) -> Действие не было предпринято. D:\cfg\cfg.rar (Backdoor.Bot) -> Действие не было предпринято. D:\cfg\cssdm\cssdm.weapons.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloads\botovod-lite.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloads\Арбитраж.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\!new_yoba.rar (Trojan.Agent) -> Действие не было предпринято. D:\downloadsOLD\1.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Akiyama1.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Izdatelstvo_Eksmo_Seriya_Polnaya_entsiklopediya_Zemlya._Polnaya_entsiklopediya.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Kazni_i_pytki.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\killer.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Russian.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\shock content.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Themed.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Threads 2.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\доброанон.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Мавроди Сергей Пантелеевич книги.rar (Backdoor.Bot) -> Действие не было предпринято. D:\downloadsOLD\Системы\Системы\Капер++\sistema_kapper.rar (Backdoor.Bot) -> Действие не было предпринято. D:\Semka_Ult64210210\Activators\Windows 7 Loader 1.7.7 (by Daz)\Windows 7 Loader.exe (Trojan.Agent.W) -> Действие не было предпринято. F:\downloads\cgminer-3.8.3-windows.zip (PUP.Optional.Cgminer) -> Действие не было предпринято. F:\downloads\cudaminer-2013-12-10.zip (PUP.Optional.Bitcoin) -> Действие не было предпринято. F:\downloads\guiminer-scrypt_win32_binaries_v0.04 (1).zip (PUP.BitCoinMiner) -> Действие не было предпринято. F:\downloads\pooler-cpuminer-2.3.2-win64.zip (Riskware.BitcoinMiner) -> Действие не было предпринято. F:\Games\Need for Speed(TM) Rivals\nfs14.3dm.dll (Trojan.Agent) -> Действие не было предпринято. F:\Games\Need for Speed(TM) Rivals\NFS14.exe (Trojan.Agent) -> Действие не было предпринято. F:\Games\Need for Speed(TM) Rivals\NFS14_x86.exe (Trojan.Agent) -> Действие не было предпринято. F:\utorrent\downloads\Daemon Tools PRO Advanced v5.2.0.0348 Final Ml_Rus\DAEMONToolsPro520-0348.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
Отключите до перезагрузки антивирус и выполните скрипт в UVS:После перезагрузки пришлите лог выполнения скрипта (текстовый файл с именем, состоящим из даты и времени в папке с UVS).Код:;uVS v3.83.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c offsgnsave adddir %SystemDrive%\USERS\HomePC\APPDATA\ROAMING ; C:\USERS\HOMEPC\APPDATA\ROAMING\5092.EXE addsgn 1A18629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Ransom.ED [Malwarebytes] ; C:\USERS\HOMEPC\APPDATA\ROAMING\8875.EXE ; C:\USERS\HOMEPC\APPDATA\ROAMING\8094.EXE ; C:\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE chklst delvir delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=26AB002522F64903 delref %SystemDrive%\PROGRAM FILES (X86)\MYPC BACKUP\SIGNUP WIZARD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\MBR.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE exec %SystemDrive%\USERS\HOMEPC\DESKTOP\COMBOFIX.EXE /uninstall deltmp restart
WBR,
Vadim
Должно быть чисто. С флэшками что?
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- \dojtebhze.exe._6b9b40e4cbaa98b2ad0aea259a4aa2c92b dea319 - Trojan.Win32.Yakes.fvqf ( DrWEB: Trojan.Encoder.761, BitDefender: Trojan.GenericKD.1839734, AVAST4: Win32:Injector-BZL [Trj] )
- \explorer.exe._9b22e4ac69a19f8f68c2f05e946fc3979ac 672cd - Trojan.Win32.Badur.jmnd ( DrWEB: Trojan.Matsnu.65, BitDefender: Trojan.GenericKD.1907760, AVAST4: Win32:Injector-CCB [Trj] )
- \msupdate.exe._b0c9331c569a9958c8e591ffb563d4dd11a 322bf - Trojan-Proxy.Win32.Lethic.ccz ( DrWEB: Trojan.Asterope.4, BitDefender: Trojan.GenericKD.1894654, AVAST4: Win32:Trojan-gen )
- \splwow64.exe._9c98103daf68bb1fc8de9fa9254637cedcd dcbc1 - Trojan.Win32.Badur.jmpc ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908668, AVAST4: Win32:Malware-gen )
- \wtnwkloct.exe._1ae6c4bd31fca9aa1e5aeaae04fd879528 33498c - Trojan.Win32.Yakes.gnqe ( BitDefender: Trojan.GenericKD.1906912, AVAST4: Win32:Injector-CBP [Trj] )
- \206d.exe._a629d14fd4bf663b56aacf9f7b9ce0ca228ce82 7 - Trojan.Win32.Inject.soei ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908561, AVAST4: Win32:Dropper-gen [Drp] )
- \5092.exe._9c98103daf68bb1fc8de9fa9254637cedcddcbc 1 - Trojan.Win32.Badur.jmpc ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908668, AVAST4: Win32:Malware-gen )
- \8094.exe._9c98103daf68bb1fc8de9fa9254637cedcddcbc 1 - Trojan.Win32.Badur.jmpc ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908668, AVAST4: Win32:Malware-gen )
- \8875.exe._a629d14fd4bf663b56aacf9f7b9ce0ca228ce82 7 - Trojan.Win32.Inject.soei ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908561, AVAST4: Win32:Dropper-gen [Drp] )
- \98setup.exe._9b22e4ac69a19f8f68c2f05e946fc3979ac6 72cd - Trojan.Win32.Badur.jmnd ( DrWEB: Trojan.Matsnu.65, BitDefender: Trojan.GenericKD.1907760, AVAST4: Win32:Injector-CCB [Trj] )
Уважаемый(ая) needleq, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.