Тормозит нетбук. Файлы на флешках превратились в ярылки .lnk [Worm.Win32.Ngrbot.vwr, Worm.Win32.Ngrbot.vwh, Backdoor.Win32.Azbreg.xhh ]

Printable View

09.11.2013, 10:51
Filou

Вложений: 3

Тормозит нетбук. Файлы на флешках превратились в ярылки .lnk [Worm.Win32.Ngrbot.vwr, Worm.Win32.Ngrbot.vwh, Backdoor.Win32.Azbreg.xhh ]

Вставил себе флешку от девочки на работе. Не зарегеный нод32 пропустил.

trashes.lnk
09.11.2013, 10:52
Info_bot

Уважаемый(ая) [B]Filou[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.11.2013, 00:41
Никита Соловьев

[URL="http://virusinfo.info/showthread.php?t=7239"][COLOR="#ff0033"][SIZE=3][FONT=Century Gothic]Выполните скрипт в AVZ:[/FONT][/SIZE][/COLOR][/URL]

[CODE]
BEGIN
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\users\filou\appdata\roaming\msocache\winhelp.exe');
TerminateProcessByName('c:\recycler\webhost.exe');
TerminateProcessByName('c:\users\filou\appdata\roaming\microsoft\uzsasu.exe');
QuarantineFile('c:\users\filou\appdata\roaming\128.exe','');
QuarantineFile('C:\Users\Filou\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Filou\AppData\Roaming\Microsoft\Rzsasr.exe','');
QuarantineFile('C:\Users\Filou\AppData\Roaming\Microsoft\Uzsasu.exe','');
QuarantineFile('C:\Users\Filou\AppData\Roaming\Microsoft\Vzsasv.exe','');
QuarantineFile('C:\Users\Filou\AppData\Roaming\Microsoft\Czsasc.exe','');
QuarantineFile('C:\Users\Filou\AppData\Roaming\MSOCache\winhelp.exe','');
QuarantineFile('C:\RECYCLER\webhost.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\absprox.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\absprox.exe','32');
DeleteFile('C:\RECYCLER\webhost.exe','32');
DeleteFile('C:\Users\Filou\AppData\Roaming\MSOCache\winhelp.exe','32');
DeleteFile('C:\Users\Filou\AppData\Roaming\Microsoft\Czsasc.exe','32');
DeleteFile('C:\Users\Filou\AppData\Roaming\Microsoft\Vzsasv.exe','32');
DeleteFile('C:\Users\Filou\AppData\Roaming\Microsoft\Uzsasu.exe','32');
DeleteFile('C:\Users\Filou\AppData\Roaming\Microsoft\Rzsasr.exe','32');
DeleteFile('C:\Users\Filou\AppData\Roaming\ScreenSaverPro.scr','32');
DeleteFile('c:\users\filou\appdata\roaming\128.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','absprox');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall TCP Manager');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pieceofshittycakechikewddcns');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Czsasc');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rzsasr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uzsasu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vzsasv');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
END.
[/CODE]

Компьютер будет перезагружен.

Используйте ссылку "[B]Прислать запрошенный карантин[/B]", которая находится над первым сообщением этой темы, чтобы прислать [B]quarantine.zip[/B].

Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

[URL="http://virusinfo.info/showthread.php?t=115256"]Сделайте отчет программы RSIT.[/URL]
10.11.2013, 22:59
Filou

Вложений: 5

Cпасибо!

Выполнил. Запрошенные файлы прилагаю.
Что делать с инфицированными 2 мя флешками?
10.11.2013, 23:04
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-51117819\a111a1a9.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a111411r9');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-51117819\a111a1a9.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
10.11.2013, 23:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-5826412\\absprox.exe - [B]Trojan-Proxy.Win32.Lethic.bkp[/B] ( BitDefender: Gen:Variant.Symmi.34499, AVAST4: Win32:Zbot-RZD [Trj] )[*] c:\\recycler\\webhost.exe - [B]Backdoor.Win32.Azbreg.xhh[/B] ( BitDefender: Trojan.GenericKD.1366104, AVAST4: Win32:Kryptik-NCX [Trj] )[*] c:\\users\\filou\\appdata\\roaming\\microsoft\\uzsasu.exe - [B]Worm.Win32.Ngrbot.vwh[/B] ( BitDefender: Trojan.GenericKD.1382242, AVAST4: Win32:Agent-ASGR [Trj] )[*] c:\\users\\filou\\appdata\\roaming\\microsoft\\vzsasv.exe - [B]Trojan.Win32.Sharik.qmr[/B] ( BitDefender: Gen:Variant.Symmi.9315, AVAST4: Win32:Dropper-NKI [Drp] )[*] c:\\users\\filou\\appdata\\roaming\\msocache\\winhelp.exe - [B]Trojan.Win32.Sharik.qmr[/B] ( BitDefender: Gen:Trojan.Heur.ZGY.5, AVAST4: Win32:Dropper-NKI [Drp] )[*] c:\\users\\filou\\appdata\\roaming\\screensaverpro.scr - [B]Worm.Win32.Ngrbot.vwr[/B] ( BitDefender: Gen:Variant.Zusy.70895, AVAST4: Win32:Malware-gen )[/LIST][/LIST]