Показано с 1 по 20 из 20.

Скрытые папки. [Trojan.VBS.Agent.yx] (заявка № 199687)

  1. #1
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18

    Thumbs up Скрытые папки. [Trojan.VBS.Agent.yx]

    Папки скрытые стали на всех дисках(в корне диска) и D.WEB ругается постоянно...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) invazion, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    RemoteAdmin - ваше?

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    - сделайте лог Check Browsers' LNK by Dragokas & regist.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. regist получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    RemoteAdmin - не моё!
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от regist Посмотреть сообщение
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
    где?!

  8. regist получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    remoteadmin все таки моя прога.

    http://virusinfo.info/virusdetector/...0CFECA9F9CCA38

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\МВА\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk', '');
     QuarantineFile('C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Opera.lnk', '');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код:
    C:\Documents and Settings\МВА\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Opera.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\История изменений.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Программа Spu_orb.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Руководство пользователя.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Удалить Spu_orb.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Total Commander\SamLab.ws - New Soft.lnk
    C:\Program Files\Total Commander\Sam Lab.url
    C:\Documents and Settings\МВА\Главное меню\Программы\Пульс-плюс\BSmeta НП\Internet-Обновление Бухучет НП.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Пульс-плюс\BSmeta НП\Бухучет НП.lnk
    C:\Documents and Settings\МВА\Мои документы\Василина\Ярлык для Шаблон на субсидии по ээнергии.lnk
    C:\Documents and Settings\МВА\Рабочий стол\Ярлык для AA_v3.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Dr.Web Scanner.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Бюджетная отчетность (2).lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Бюджетная отчетность.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Мониторинг налоговых доходов (65-н-упр).lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Программа Spu_orb.lnk
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

  11. regist получил(а) благодарность за это сообщение от


  12. #8
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    готово
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.


    что с проблемой?

  14. regist получил(а) благодарность за это сообщение от


  15. #10
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    dweb ругается на файлы(в корне С с расширением vbs названия этих файлов в основном совпадают с названием папок в том же корне. Пока не понял в какой момент они появляются.

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от invazion Посмотреть сообщение
    в корне С с расширением vbs
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.


    - Сделайте лог полного сканирования MBAM.

  17. regist получил(а) благодарность за это сообщение от


  18. #12
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    всё сделал.
    Вложения Вложения

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Поместите в карантин MBAM только

    Код:
    Trojan.Agent, HKU\S-1-5-21-1757981266-1897051121-839522115-1003\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|SysDebug32,  t“ПJ  "ЋВФЫc M«uЮЊ']KU© xпхх#њ,6РpEFї#Тгўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:ЉWН¤ Kж+Ј Б* ЈуRa§ОД Х˜–гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:љу/wJ™Ыg4©Ђ1ќч± гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:Бgк€;s  , , [17fbbcf5059453e32c3c9fca60a30af6]
    что с проблемой?

    - - - - -Добавлено - - - - -

    +
    - выполните такой скрипт в AVZ
    Код:
    begin
     ClearQuarantineEx(true); 
      QuarantineFile('C:\Windows\ShellNew\S-5-1-56-2583390153-6505959084-958661815-1351\fjmdoq.sfw', '');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

  20. regist получил(а) благодарность за это сообщение от


  21. #14
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    В карантин поместил...

    drweb.jpg
    Dr Web удаляет эти файлы, но через некоторое время они снова появляются.

  22. #15

  23. regist получил(а) благодарность за это сообщение от


  24. #16
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    Да выполнил. Но он пустой.
    Походу нашел вирус "HPLaserJetService.exe"
    При перезапуске запускается. Висит в диспетчере. Файлы начинают появляться.
    После выгрузки его в диспетчере перестают появляться. Но я не нашел где прописан его запуск.

    Запустил его вручную, вылезла ошибка hp.jpg

    - - - - -Добавлено - - - - -

    Удалил этот файл. После перезагрузки работа вируса не проявляется. Копию файла сохранил на всякий случай.
    Кстати через просмотр в тотал коммандере говорит что это архив arj sfx.
    Последний раз редактировалось invazion; 21.04.2016 в 09:45.

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от invazion Посмотреть сообщение
    Копию файла сохранил на всякий случай.
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    + поищите у себя поиском файл fjmdoq.sfw если найдёте, то также пришлите в карантин.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от invazion Посмотреть сообщение
    Походу нашел вирус "HPLaserJetService.exe"
    Путь к файлу если не сложно напишите, случайно это не он?

    Код:
    c:\program files\hewlett-packard\hplaserjetservice\hplaserjetservice.exe
    на вирус не очень похоже, по вирустотал файл известен с 2010 года.

  26. #18
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    18
    fjmdoq.sfw нет ни на одном диске
    карантин прикрепил

    - - - - -Добавлено - - - - -

    да путь такой

    - - - - -Добавлено - - - - -

    после его удаления файлы не появляются

    - - - - -Добавлено - - - - -

    а если его поместить обратно и перезагрузить - для опыта)

  27. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    1) Верните этот файл на место.

    2) Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например http://rghost.ru

    Перед тем как делать лог Process Monitor по возможности выгрузите все лишние программы (чтобы лог был меньше).

  28. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,530
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\мва\application data\microsoft\internet explorer\quick launch\opera.lnk - HEUR:Trojan.WinLNK.StartPage.gena
      2. c:\documents and settings\мва\рабочий стол\ярлыки с рабочего стола\opera.lnk - HEUR:Trojan.WinLNK.StartPage.gena
      3. \documents and settings.vbs - Trojan.VBS.Agent.yx


  • Уважаемый(ая) invazion, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 12
      Последнее сообщение: 05.07.2015, 15:46
    2. Ответов: 5
      Последнее сообщение: 23.11.2009, 00:04
    3. Ответов: 11
      Последнее сообщение: 08.07.2009, 10:23
    4. Ответов: 9
      Последнее сообщение: 19.03.2008, 20:58
    5. Скрытые папки и файлы (Trojan.Nsanti.Packed)
      От Chek в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.01.2008, 14:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01389 seconds with 22 queries