Printable View
Создают exe файлы на диске D (предположительно самораспаковывающиеся архивы) затем они распаковываются и пытаются запускаться.
в распакованно виде xls файл 2 dll и exe Названия создающихся и распаковывающихся файлов меняются. Так-же пытается поставиться китайский фаервол. Судя по procmon архивы создает svchost, но куда подсел зловред найти пока не смог.
Уважаемый(ая) [B]file5020[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\Windows\Tasks\bksEkCoHPu9.job','32');
DeleteFile('C:\Windows\Tasks\7lTBPK0VYwdypP5Phd.job','32');
ExecuteSysClean;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Удаление job файлов результат не принесло. Файлы все еще появляются. Процессы запускаются.
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Вроде ничего не нашло, файлы все еще появляются
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Логи FRST
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [Yahoo Messenger] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?f=dbsj&db_94_502&inst
2015-10-29 10:39 - 2015-09-21 10:43 - 00000856 _____ C:\Windows\system32\Drivers\etc\hp.bak
C:\Users\Лена\AppData\Local\Temp\BZZFTNJUXTCLDQQGBYKBPTMLMU.exe
C:\Users\Лена\AppData\Local\Temp\IORKTGHDKXPNIFPRXCOIRKCECH.exe
C:\Users\Лена\AppData\Local\Temp\JFPATUGBZSYKDDVSIVBTVMMVTR.exe
C:\Users\Лена\AppData\Local\Temp\JQXCDQQRJEBTBUYRKTWTRBWLWY.exe
C:\Users\Лена\AppData\Local\Temp\NPFXRKPVGHVHZARWMVAWHULUBF.exe
C:\Users\Лена\AppData\Local\Temp\PCJVIFNPGZBDNDGJDEUXIBJTBK.exe
C:\Users\Лена\AppData\Local\Temp\QACCRHWRDXBMGEBLAZUMFTNXNS.exe
C:\Users\Лена\AppData\Local\Temp\QNWNZFWMYPKOYMVOKPUFWBUMVT.exe
C:\Users\Лена\AppData\Local\Temp\QVLUJSNKWZDSDVNKVXFYZHUNTE.exe
C:\Users\Лена\AppData\Local\Temp\RXYPKLIYMYDAPEZZFLPZGGOGHT.exe
C:\Users\Лена\AppData\Local\Temp\UCILEISRDZARBIKGYRDMYFZPRT.exe
C:\Users\Лена\AppData\Local\Temp\UNDVLVAKHULJIEPDGLSESJXYYH.exe
C:\Users\Лена\AppData\Local\Temp\UVQDYVCQTWCUUVMMWEZGPQXOGK.exe
C:\Users\Лена\AppData\Local\Temp\VWLQKUIJFORNWPODRQYPXUTXQK.exe
C:\Users\Лена\AppData\Local\Temp\XICLZVKQERKUGUVEDYORVNHLXM.exe
C:\Users\Лена\AppData\Local\Temp\XRPBIMWUEIDHKZADFQBFSFYRRX.exe
C:\Users\Лена\AppData\Local\Temp\YLIORWFLIYQKMNXYETBZOAQNAJ.exe
Task: C:\Windows\Tasks\7lTBPK0VYwdypP5Phd.job => C:\Users\эяэяэяэя\AppData\Roaming\7lTBPK0VYwdypP5Phd.exe <==== ATTENTION
Task: C:\Windows\Tasks\bksEkCoHPu9.job => C:\Users\эяэяэяэя\AppData\Roaming\bksEkCoHPu9.exe <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Лог
exe файлы на диске D все еще появляются, пытаются запуститься .... и т.д.
Пример файла такого пришлите в карантин
в архиве карантина несколько вариантов появляющихся файлов, в папке развернутый вариант который появляется в temp после их запуска. Заголовок процесса из папки и есть TODO+иеороглифы.
Дрянь заползла после закачки и запуска файла с 71243-money . ru заодно поставился китайский фаервол и еще куча дряни, остальное вроде вытерлось, но вот некий качальщик где-то спрятался и продолжает черное дело.
Сделайте [URL="http://virusinfo.info/showthread.php?t=146192"]лог AdwCleaner[/URL]
лог adw
Удалите все найденные записи
Не помогло. Та же симптоматика. AdCleaner больше ничего не находит.
Диск D расшарен по сети?
Явным образом не расшарен. Завтра проверю, может что-то со скрытой шарой есть . Но какая-то гадость этот файл ещё ж и запускает.
Шары (сетевого доступа нету), файлы появляются.
У меня идей нет, кроме как чудит что-то из установленного софта