Поймал вирус с флешки, который копирует папки на флешке в скрытые и создает ярлыки вируса с идентичными названиями папок.
Printable View
Поймал вирус с флешки, который копирует папки на флешке в скрытые и создает ярлыки вируса с идентичными названиями папок.
Уважаемый(ая) [B]needleq[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
[QUOTE=thyrex;1168716]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL][/QUOTE]
Вот
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. [*]Закройте все программы, [B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE];uVS v3.82 script [http://dsrt.dyndns.org]
adddir %SystemDrive%\USERS\HomePC\APPDATA\ROAMING
crimg
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы.[*]После этого в папке с программой будет создан образ автозапуска название, которого имеет формат [B]"имя_компьютера_дата_сканирования"[/B]. Прикрепите этот образ к следующему сообщению[*][INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]
есть
[ATTENTION]Перезагрузитесь срочно в безопасный режим с поддержкой сети, есть вероятность, что шифровальщик работает.[/ATTENTION]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
; C:\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE
addsgn 1A18629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Ransom.ED [Malwarebytes]
zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE
zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE
; C:\USERS\HOMEPC\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE
; C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186600441\1D167R8.EXE
; C:\PROGRAMDATA\MSNLUDKA.EXE
; C:\USERS\HOMEPC\APPDATA\ROAMING\5092.EXE
; C:\USERS\HOMEPC\APPDATA\ROAMING\8094.EXE
; C:\USERS\HOMEPC\APPDATA\ROAMING\8875.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE
addsgn 1AC8599A5583348CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 8 a variant of Win32/Injector.BNBY [ESET]
zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE
zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\MBR.EXE
; C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE
;------------------------autoscript---------------------------
chklst
delvir
;-------------------------------------------------------------
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=26AB002522F64903
zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE
delall %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE
zoo %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\DOJTEBHZE.EXE
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\DOJTEBHZE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MYPC BACKUP\SIGNUP WIZARD.EXE
deltmp
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\MBR.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-166110941\Z6106911.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-131141841\Z6421311.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-84491331\1P17R8.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13518811\Z621YYS61.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13152841\Z62122S61.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344DQ8.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-981891\1345NA8.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-9818113121\13P3XXA8.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1688441\ES8101.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1683313441\ES101.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1477130\DA45774.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-175671130\DADQRO14.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-17567130\DAWPRO14.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18510\DA8KWN4.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-178510\DA78KWN4.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1510\DAKWJE4.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1733310\D133A31.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-173144410\D11334.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-124710\D14QA31.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1724710\D14Q7A31.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12473925\D4Q931.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1247325\D4QR531.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-127325\DQR531.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-127327\DQR37331.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12321413\DQR21RR31.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13261141\DQES931.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13491331\BA34R1E3.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1349131\A34R1E3.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11893101\AVT1RE3.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-134931\AVBBRE3.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1189301\AVT13X3.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1389301\AVT3X3.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13811BA0\A1GG23.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-138211301\AV1GG23X3.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13821101\AV1GG23X2.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1381101\AV1GG23X1.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13811BA0\AV1GG23.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1713234\3843214X.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-171234\384214X.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-17192234\38423214X.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10813330\A88BGG5.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1013330\ABGG5.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313IQ0\ABN1AQ5.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-101313530\AB5NZX5.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313IQ0\A1D3B1AQ5.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313IN420\A13B1AD45.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10313530\AB5N1AQ5.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-103420\A11AD45.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1031420\A1B1AD45.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-11013420\A114RSD45.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1013420\A11SD45.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1014563110\A1123X45.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-10145120\A1123X145.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1013450\A1G2345.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1012710\A1GQC876.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-017710\ADBQC876.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1017710\ABDBQC876.EXE
delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE
delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\JTPMPV.EXE
czoo
restart[/code]Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
[url]http://rghost.net/58408721[/url]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE
delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE
delref %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\JTPMPV.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\SPINTIRES\UNINSTALL\UNINS000.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE
addsgn 1A064A9A5583348CF42B16E9148A12C6848A4AB489AC756CDB4605C9576E714E231728510593E04EA046279FF0544990798F004A46DAB07574D45C8A8506A7B3 8 Trojan.Win32.Yakes.gnqe [Kaspersky]
zoo %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\WTNWKLOCT.EXE
bl 56806EF3CD0B2B6E52B5A26B37F82501 352768
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\WTNWKLOCT.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE
chklst
delvir
czoo
restart[/CODE]
после этого сделайте новый лог uVS по инструкции как написано [URL="http://virusinfo.info/showthread.php?t=168046&p=1168847&viewfull=1#post1168847"]здесь[/URL].
Все сделал [url]http://rghost.net/58421556[/url]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
addsgn 1A18629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Win32.Inject.soei [Kaspersky]
zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE
bl 2DE58F6B618CE9E1CCA38F4401C5690E 260096
zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\5092.EXE
bl 1A60D30DABCBA63730F3C11582A53894 113152
zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\8094.EXE
zoo %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\8875.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\98SETUP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE
delall %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GTPMPS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE
delall %SystemDrive%\USERS\HOMEPC\APPDATA\ROAMING\IDENTITIES\JTPMPV.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\EXPLORER.EXE
chklst
delvir
regt 28
regt 29
czoo
restart[/CODE]
сделайте новый образ автозапуска таким же образом
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Custom Scan[/b]" ("[B]Пользовательское сканирование[/B]"), нажмите "[b]Scan Now[/b]" ("[B]Сканировать сейчас[/B]"), отметьте все диски. В выпадающих списках PUP и PUM выберите "[b]Warn user about detections[/b]" ("[B]Предупредить пользователя об обнаружении[/B]"). Нажмите нажмите "[b]Start Scan[/b]" ("[B]Запуск проверки[/B]"). После сканирования нажмите [b]Export Log[/b], сохраните в формате txt и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2014-04-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL][/URL].
[url]http://rghost.net/58423625[/url] - uVS
[url]http://rghost.net/private/58424462/c99a976a35a7bb353cc6f3f062bf4bc0[/url] MBAM
Удалите в MBAM (переместите в карантин) всё, [B]кроме[/B]:[code]D:\Stresstest5.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\WinSetup-1-0-beta7.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\cfg\cfg.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\cfg\cssdm\cssdm.weapons.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloads\botovod-lite.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloads\Арбитраж.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\!new_yoba.rar (Trojan.Agent) -> Действие не было предпринято.
D:\downloadsOLD\1.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Akiyama1.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Izdatelstvo_Eksmo_Seriya_Polnaya_entsiklopediya_Zemlya._Polnaya_entsiklopediya.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Kazni_i_pytki.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\killer.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Russian.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\shock content.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Themed.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Threads 2.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\доброанон.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Мавроди Сергей Пантелеевич книги.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\downloadsOLD\Системы\Системы\Капер++\sistema_kapper.rar (Backdoor.Bot) -> Действие не было предпринято.
D:\Semka_Ult64210210\Activators\Windows 7 Loader 1.7.7 (by Daz)\Windows 7 Loader.exe (Trojan.Agent.W) -> Действие не было предпринято.
F:\downloads\cgminer-3.8.3-windows.zip (PUP.Optional.Cgminer) -> Действие не было предпринято.
F:\downloads\cudaminer-2013-12-10.zip (PUP.Optional.Bitcoin) -> Действие не было предпринято.
F:\downloads\guiminer-scrypt_win32_binaries_v0.04 (1).zip (PUP.BitCoinMiner) -> Действие не было предпринято.
F:\downloads\pooler-cpuminer-2.3.2-win64.zip (Riskware.BitcoinMiner) -> Действие не было предпринято.
F:\Games\Need for Speed(TM) Rivals\nfs14.3dm.dll (Trojan.Agent) -> Действие не было предпринято.
F:\Games\Need for Speed(TM) Rivals\NFS14.exe (Trojan.Agent) -> Действие не было предпринято.
F:\Games\Need for Speed(TM) Rivals\NFS14_x86.exe (Trojan.Agent) -> Действие не было предпринято.
F:\utorrent\downloads\Daemon Tools PRO Advanced v5.2.0.0348 Final Ml_Rus\DAEMONToolsPro520-0348.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.[/code]
+ майнеры не удаляйте, если сами пользуетесь.
Отключите до перезагрузки антивирус и выполните скрипт в UVS:[CODE];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
offsgnsave
adddir %SystemDrive%\USERS\HomePC\APPDATA\ROAMING
; C:\USERS\HOMEPC\APPDATA\ROAMING\5092.EXE
addsgn 1A18629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Ransom.ED [Malwarebytes]
; C:\USERS\HOMEPC\APPDATA\ROAMING\8875.EXE
; C:\USERS\HOMEPC\APPDATA\ROAMING\8094.EXE
; C:\USERS\HOMEPC\APPDATA\ROAMING\206D.EXE
chklst
delvir
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\BFSVC.EXE
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=26AB002522F64903
delref %SystemDrive%\PROGRAM FILES (X86)\MYPC BACKUP\SIGNUP WIZARD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\ZIP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\GREP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SPLWOW64.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROSHOWTIME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NIRCMD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\REGEDIT.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\PEV.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HH.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWREG.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NEXON_EU_DOWNLOADERUPDATER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_32.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNRECODE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROMEDIAHOME.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWXCACLS.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROVISION.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\MBR.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WINHLP32.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\NOTEPAD.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\UNNEROBACKITUP.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\HELPPANE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SWSC.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\TWUNK_16.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\SED.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\HOMEPCS\WRITE.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UPDATE\MSUPDATE.EXE
exec %SystemDrive%\USERS\HOMEPC\DESKTOP\COMBOFIX.EXE /uninstall
deltmp
restart[/CODE]
После перезагрузки пришлите лог выполнения скрипта (текстовый файл с именем, состоящим из даты и времени в папке с UVS).
[url]http://rghost.net/private/58424992/ef5275bc975664d45a2defc0b5d8a0b0[/url]
Должно быть чисто. С флэшками что?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \dojtebhze.exe._6b9b40e4cbaa98b2ad0aea259a4aa2c92bdea319 - [B]Trojan.Win32.Yakes.fvqf[/B] ( DrWEB: Trojan.Encoder.761, BitDefender: Trojan.GenericKD.1839734, AVAST4: Win32:Injector-BZL [Trj] )[*] \explorer.exe._9b22e4ac69a19f8f68c2f05e946fc3979ac672cd - [B]Trojan.Win32.Badur.jmnd[/B] ( DrWEB: Trojan.Matsnu.65, BitDefender: Trojan.GenericKD.1907760, AVAST4: Win32:Injector-CCB [Trj] )[*] \msupdate.exe._b0c9331c569a9958c8e591ffb563d4dd11a322bf - [B]Trojan-Proxy.Win32.Lethic.ccz[/B] ( DrWEB: Trojan.Asterope.4, BitDefender: Trojan.GenericKD.1894654, AVAST4: Win32:Trojan-gen )[*] \splwow64.exe._9c98103daf68bb1fc8de9fa9254637cedcddcbc1 - [B]Trojan.Win32.Badur.jmpc[/B] ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908668, AVAST4: Win32:Malware-gen )[*] \wtnwkloct.exe._1ae6c4bd31fca9aa1e5aeaae04fd87952833498c - [B]Trojan.Win32.Yakes.gnqe[/B] ( BitDefender: Trojan.GenericKD.1906912, AVAST4: Win32:Injector-CBP [Trj] )[*] \206d.exe._a629d14fd4bf663b56aacf9f7b9ce0ca228ce827 - [B]Trojan.Win32.Inject.soei[/B] ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908561, AVAST4: Win32:Dropper-gen [Drp] )[*] \5092.exe._9c98103daf68bb1fc8de9fa9254637cedcddcbc1 - [B]Trojan.Win32.Badur.jmpc[/B] ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908668, AVAST4: Win32:Malware-gen )[*] \8094.exe._9c98103daf68bb1fc8de9fa9254637cedcddcbc1 - [B]Trojan.Win32.Badur.jmpc[/B] ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908668, AVAST4: Win32:Malware-gen )[*] \8875.exe._a629d14fd4bf663b56aacf9f7b9ce0ca228ce827 - [B]Trojan.Win32.Inject.soei[/B] ( DrWEB: Trojan.Inject1.45272, BitDefender: Trojan.GenericKD.1908561, AVAST4: Win32:Dropper-gen [Drp] )[*] \98setup.exe._9b22e4ac69a19f8f68c2f05e946fc3979ac672cd - [B]Trojan.Win32.Badur.jmnd[/B] ( DrWEB: Trojan.Matsnu.65, BitDefender: Trojan.GenericKD.1907760, AVAST4: Win32:Injector-CCB [Trj] )[/LIST][/LIST]