Вирус делает скрытыми папки на съемных носителях [Worm.Win32.Ngrbot.ubg, Backdoor.Win32.Azbreg.wro, HEUR:Trojan.Win32.Generic ]

Вложений: 3

Здравствуйте. Посмотрите, пожалуйста, не осталось ли каких хвостов после удаления этого зверька.Логи прилагаю

Уважаемый(ая) [B]OlegMal[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
TerminateProcessByName('c:\documents and settings\user\application data\f.exe');
TerminateProcessByName('c:\documents and settings\user\application data\5.exe');
TerminateProcessByName('c:\documents and settings\user\application data\11.exe');
TerminateProcessByName('c:\documents and settings\user\application data\10.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8964251\hda7700.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-811119\jaa1202.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7998255\hda7709.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7998215\hd109.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7968255\hda7708.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7964255\hda7707.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-756715\hdjojoba.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6964255\hda7706.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4964255\hda7705.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4964251\hda7704.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3964251\hda7703.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2964251\hda7702.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1964251\hda7701.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\ScreenSaverPro.scr','');
QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft\tvjpt\tvjpt.exe','');
QuarantineFile('c:\documents and settings\user\application data\f.exe','');
QuarantineFile('c:\documents and settings\user\application data\5.exe','');
QuarantineFile('c:\documents and settings\user\application data\11.exe','');
QuarantineFile('c:\documents and settings\user\application data\10.exe','');
QuarantineFileF('c:\documents and settings\user\application data', '*', false, ' ', 0, 0);
DeleteFile('c:\documents and settings\user\application data\10.exe','32');
DeleteFile('c:\documents and settings\user\application data\11.exe','32');
DeleteFile('c:\documents and settings\user\application data\5.exe','32');
DeleteFile('c:\documents and settings\user\application data\f.exe','32');
DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\tvjpt\tvjpt.exe','32');
DeleteFile('C:\Documents and Settings\User\Application Data\ScreenSaverPro.scr','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1964251\hda7701.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2964251\hda7702.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3964251\hda7703.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4964251\hda7704.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4964255\hda7705.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6964255\hda7706.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-756715\hdjojoba.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7964255\hda7707.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7968255\hda7708.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7998215\hd109.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7998255\hda7709.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-811119\jaa1202.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8964251\hda7700.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7701');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7702');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7703');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7704');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7705');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7706');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hdjojoba');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7707');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7708');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda19');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7709');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jaa1202');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hda7700');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSNetDKNowiz');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
ExecuteRepair(12);
ExecuteRepair(13);
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Documents and Settings\User\Application Data\ScreenSaverPro.scr
O4 - HKCU\..\Run: [hdjojoba] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-756715\hdjojoba.exe
O24 - Desktop Component 0: (no name) - (no file)
[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])

Вложений: 3

Все выполнил. Логи прилагаю

Удалите все найденное в MBAM [B]кроме[/B]:

[CODE]
C:\Documents and Settings\User\Мои документы\Downloads\Unlocker1.9.2.exe (PUP.Optional.Babylon.A) -> Действие не было предпринято.
[/CODE]

Сделайте новый лог полного сканирования MBAM

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\application data\\screensaverpro.scr - [B]Worm.Win32.Ngrbot.ubg[/B] ( BitDefender: Trojan.GenericKD.1273596, AVAST4: Win32:Crypt-PYY [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-119559\\tcdail.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-129551\\tprepl.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-135672\\763ta1.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-235672\\763ta2.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-335672\\763ta3.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-435672\\763ta4.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-635672\\763ta7.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-756715\\hdjojoba.exe - [B]Backdoor.Win32.Azbreg.wro[/B] ( BitDefender: Trojan.GenericKD.1274307, AVAST4: Win32:Crypt-PYY [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-83109\\763t10.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[/LIST][/LIST]