Вирус скрывающий папки

Printable View

23.06.2011, 16:09
Alex_beat

Вирус скрывающий папки

Здравствуйте. У меня проблемма. недавно появился вирус который скрывает папки на сменных usb носителях и это притом что я уже 1 раз переустанавливал windows. (+ скрыл на съёмном диске) Сканировался утилитой drweb cure it (последняя версия) находит много заражённых файлов (не удаляет- перемещает в карантин) Далее создаёт файлы наподобии. Антивирус стоит eset smart security 4. Помогите плизз.Заранее спасибо.
23.06.2011, 16:11
Info_bot

Уважаемый(ая) [B]Alex_beat[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
23.06.2011, 16:18
Никита Соловьев

[B][COLOR="Red"]Отключите восстановление системы.[/COLOR][/B]

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\51.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
QuarantineFile('C:\WINDOWS\system32\18.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\Dmrurx.exe','');
DeleteFile('C:\Documents and Settings\Александр\Application Data\Dmrurx.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmrurx');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\18.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Сделайте новые логи AVZ

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=53070]MBAM[/URL]
23.06.2011, 21:10
Alex_beat

Логи

Вот логи
23.06.2011, 21:21
Никита Соловьев

Удалите с помощью МВАМ:
[CODE]i:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
i:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
j:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
j:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
k:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
k:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
d:\всё откаты\откат самыыыыыыйййй новыйййййййййй!!!!!!!!!\documents and settings\local settings\Temp\0.5765670011417177.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат самыыыыыыйййй новыйййййййййй!!!!!!!!!\documents and settings\local settings\Temp\userinit.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат новый\documents and settings\guest\local settings\Temp\0.5765670011417177.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат новый\documents and settings\guest\local settings\Temp\userinit.exe (Heuristics.Shuriken) -> No action taken.[/CODE]

Сделайте новый лог МВАМ ...
24.06.2011, 09:12
Alex_beat

лог

лог МВАМ
24.06.2011, 12:55
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные файлы:
c:\documents and settings\networkservice\application data\Jorurd.exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5DY6RLH3\74ms[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YIEJBPC3\200hnfkvxx[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YIEJBPC3\74ms[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\1B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\1BF.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\1FC.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\26.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\2B.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\36.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\38.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\50.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\54.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\9.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\A.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\A7.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\Jorurd.exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\D.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\E.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\F.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\5E.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\10.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\11.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\13.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\14.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\15.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\206.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\211.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\43.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\4B.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\5A.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\C.tmp (Trojan.Downloader) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00002.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00003.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00011.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00012.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00013.dta (Trojan.Agent) -> No action taken.

[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
24.06.2011, 16:36
Alex_beat

лог

лог MBAM
24.06.2011, 23:04
Никита Соловьев

Что с проблемой?
25.06.2011, 10:51
Alex_beat

Проблемма

ну вроде бы врус пропал, спасибо)) но уменя заразился от моей флешки ещё 1 компьютер( там тоже MBAM логи делать?)+ ещё такой вопрос у меня где то 75 процентов установок и архивов не устанавливаются( может это быть связано с вирусом и решение проблеммы плизз.
25.06.2011, 11:58
Никита Соловьев

[QUOTE='Alex_beat;802377']ещё 1 компьютер[/QUOTE]Создавайте новую тему. Нужен ли МВАМ, по ходу дела будет видно.

[QUOTE='Alex_beat;802377']меня где то 75 процентов установок и архивов не устанавливаются( может это быть связано с вирусом и решение проблеммы плизз.[/QUOTE]Какую ошибку выдаёт?
25.06.2011, 12:16
Alex_beat

Ошибка установки

Ну при установки - произошла ошибка при попытке копировании файла(исходный файл повреждён) или просто устанавливает примерно 10 процентов от программы\игры, архивы- помойму пишет что фаил в архиве повреждён ну или на подобии((Что делать подскажте пожалуйста ;)

А тот компьютер просто заразился от моего через флеш(
28.06.2011, 15:27
Alex_beat

+ Всё это происходит на съёмном диске(( Будет ли смысл если форматнуть его?
29.06.2011, 15:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\александр\\application data\\dmrurx.exe - [B]Backdoor.Win32.Ruskill.hs[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.KDV.260883, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\aadrive32.exe - [B]Trojan-Downloader.Win32.Injecter.fyv[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6293309, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-ICH [Trj] )[*] c:\\windows\\jodrive32.exe - [B]Trojan.Win32.Inject.bekq[/B] ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )[*] c:\\windows\\system32\\01.exe - [B]Trojan.Win32.Inject.bekq[/B] ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )[*] c:\\windows\\system32\\08.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\system32\\18.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\system32\\20.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\system32\\38.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\system32\\50.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\system32\\51.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\system32\\56.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\windows\\system32\\68.exe - [B]Trojan.Win32.Inject.bekq[/B] ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )[*] c:\\windows\\system32\\73.exe - [B]Trojan.Win32.Inject.bekq[/B] ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )[*] c:\\windows\\system32\\88.exe - [B]Backdoor.Win32.Ruskill.hh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )[/LIST][/LIST]