вирус backdoor.irc.ngrbot.42 не удаляется [Worm.Win32.Luder.akd ]

Printable View

09.06.2014, 12:34
shcherbenev

вирус backdoor.irc.ngrbot.42 не удаляется [Worm.Win32.Luder.akd ]

На флешке создаются ярлыки имеющихся папок, а сами папки становятся скрытыми. Доктор вэб лечит и обезвреживает вирусы, после извлечения и повторной вставки вирусы снова появляются. [ATTACH]478213[/ATTACH][ATTACH]478214[/ATTACH]
09.06.2014, 12:35
Info_bot

Уважаемый(ая) [B]shcherbenev[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.06.2014, 12:59
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\users\vip\appdata\roaming\vopackage\vosrv.exe');
QuarantineFile('C:\Users\vip\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\vip\AppData\Roaming\Microsoft\Fqtitn.exe','');
QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys','');
QuarantineFile('c:\users\vip\appdata\roaming\vopackage\vosrv.exe','');
DeleteFile('c:\users\vip\appdata\roaming\vopackage\vosrv.exe','32');
DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys','32');
DeleteFile('C:\Users\vip\AppData\Roaming\Microsoft\Fqtitn.exe','32');
DeleteFile('C:\Users\vip\AppData\Roaming\ScreenSaverPro.scr','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fqtitn');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
DeleteService('vosr');
DeleteFileMask('c:\users\vip\appdata\roaming\vopackage','*',true);
DeleteDirectory('c:\users\vip\appdata\roaming\vopackage');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url], только программу скачайте [URL="http://yadi.sk/d/3KwxKzRHJMq4U"]отсюда[/URL].
09.06.2014, 16:04
shcherbenev

Выполнил, после первого скрипта и перезагрузки уже вирусы не появляются по новой)
09.06.2014, 16:07
Vvvyg

Сделайте всё же то, что я просил.
09.06.2014, 18:40
shcherbenev

а я сделал отправил как указано
09.06.2014, 22:20
Vvvyg

Куда отправили? Надо было вложением к теме.
10.06.2014, 09:10
shcherbenev

как было указано "отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме."
10.06.2014, 09:43
Vvvyg

Карантин - в карантин, всё так. А полный образ автозапуска uVS - во вложения.
10.06.2014, 15:07
shcherbenev

я туда и вложил, вместе с карантином, а теперь не могу отправить пишет "превысил предел на форуме"
10.06.2014, 15:38
Vvvyg

[url=http://virusinfo.info/showthread.php?t=130567]Удалите старые вложения[/url], либо загрузите образ автозапуска на rghost.ru и дайте ссылку в теме.
10.06.2014, 16:50
shcherbenev

[url]http://rghost.ru/56289309[/url]
10.06.2014, 18:21
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\WINDOWS\SYSTEM32\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}W64.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2AEB9CAF29BD801BE5C3573E559D492B80849F5AE049FA1D1EE8727D2BB02C2D77A42FC7062273 28 BrowseSmart [Sophos]
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\PASSSHOW-SOFT\PASSSHOWGJ171.EXE
delref HTTP://WWW.TROVI.COM/?GD=&CTID=CT3324774&OCTID=EB_ORIGINAL_CTID&ISID=M038477EE-3DE8-420B-8228-3D8C701FD40D&SEARCHSOURCE=55&CUI=&UM=5&UP=SP6E74EB39-4BD6-46F1-8F02-CE081D4EDC99&SSPV=
delref HTTP://I.SEARCH.METACRAWLER.COM/?F=1&A=IRONMC&CD=2XZUYETN2Y1L1QZUTDTDTC0AYE0DZZTDYCYCZZ0BYCYBZYZYTN0D0TZU0CYDYBTATN1L2XZUTBTFTBTFYETFYBTATCTN1L1CZU&CR=744639230&IR=
delref HTTP://SEARCH.CERTIFIED-TOOLBAR.COM?SI=41460&HOME=TRUE&TID=3204
delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3324774&OCTID=EB_ORIGINAL_CTID&ISID=M45B97F5E-8519-4732-A7B1-6B97549EB4EF&SEARCHSOURCE=55&CUI=&UM=5&UP=SP0E3E45F5-DED5-4624-BB77-1D5E45545A2C&SSPV=
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119529&BABSRC=HP_SS&MNTRID=2820001A4D80668B
delref HTTP://WWW.TROVI.COM/?GD=&CTID=CT3324774&OCTID=EB_ORIGINAL_CTID&ISID=M038477EE-3DE8-420B-8228-3D8C701FD40D&SEARCHSOURCE=55&CUI=&UM=5&UP=SP6E74EB39-4BD6-46F1-8F02-CE081D4EDC99&SSPV=
delref HTTP://YAMBLER.NET
delref HTTPS://ISEARCH.AVG.COM/?CID={2608E02D-37D3-435D-A564-406B6F7FECBE}&MID=250D3C5D352047D08254D1530B648F78-4D9C7E4355CECBA12C6D7A6FADC7518604EFFE59&LANG=EN&DS=TT014&PR=SA&D=2012-09-23 22:33:46&V=13.0.0.7&SAP=HP
delref HTTPS://ISEARCH.AVG.COM/?CID={5BA96E56-A5AE-4A00-9F89-64F032E79DF1}&MID=250D3C5D352047D08254D1530B648F78-4D9C7E4355CECBA12C6D7A6FADC7518604EFFE59&LANG=RU&DS=MT011&PR=SA&D=2012-09-20 19:52:16&V=12.2.5.34&SAP=HP
delref HTTPS://ISEARCH.AVG.COM/?CID={AA5AE4EB-A78F-4B1D-B140-E891A1238CB0}&MID=CAD62294351F47D085CCD1530B648F78-4D9C7E4355CECBA12C6D7A6FADC7518604EFFE59&LANG=RU&DS=MT011&PR=SA&D=2012-09-20 16:22:20&V=12.2.5.34&SAP=HP
delref %SystemDrive%\PROGRAM FILES (X86)\PASSSHOW-SOFT\PASSSHOWH31.EXE
uidel "C:\Users\vip\AppData\Roaming\VOPackage\uninstall.exe"

areg

;-------------------------------------------------------------

deltmp
restart[/CODE]

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

+ - сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/URL]
10.06.2014, 21:44
shcherbenev

Вложений: 2

[ATTACH]478490[/ATTACH][ATTACH]478492[/ATTACH]
а после сканирования в CheckBrow не надо очистку делать?
10.06.2014, 22:14
Vvvyg

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B], по окончании сканирования уберите галочки на вкладке [B]Папки[/B] со всех пунктов, где упоминаются Mail.Ru и Yandex [B]если используете программы от этих порталов[/B]. Если пользуетесь MediaGet - снимите также соответствующие галочки на вкладках [B]Папки[/B] и [B] Реестр[/B]. Хотя, я рекомендую удалить MediaGet и пользоваться другими торрент-клиентами.

Затем нажмите [B]Очистить[/B] и по окончании удаления перезагрузите систему по требованию программы.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL].
11.06.2014, 09:50
shcherbenev

спасибо большое за помощь которую вы оказали
11.06.2014, 10:36
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
12.06.2014, 10:07
shcherbenev

спасибо ещё раз :D
12.06.2014, 10:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\vip\appdata\roaming\microsoft\fqtitn.exe - [B]Worm.Win32.Luder.akd[/B] ( BitDefender: Trojan.GenericKDV.963216, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\vip\appdata\roaming\screensaverpro.scr - [B]Worm.Win32.Luder.akd[/B] ( BitDefender: Trojan.GenericKDV.963216, AVAST4: Win32:Dropper-gen [Drp] )[/LIST][/LIST]