Скрытые папки. [Trojan.VBS.Agent.yx]

Папки скрытые стали на всех дисках(в корне диска) и D.WEB ругается постоянно...

Уважаемый(ая) [B]invazion[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

RemoteAdmin - ваше?

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.


- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].


[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

RemoteAdmin - не моё!

[quote="regist;1376352"]- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.[/quote]
где?!

remoteadmin все таки моя прога.

[url]http://virusinfo.info/virusdetector/report.php?md5=6DB50BC6AECB27C3610CFECA9F9CCA38[/url]

Закройте все программы, [url=http://virusinfo.info/showthread.php?t=130828][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\МВА\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk', '');
QuarantineFile('C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Opera.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.


- Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки, отчёт о работе прикрепите:
[CODE]C:\Documents and Settings\МВА\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Opera.lnk
C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\История изменений.lnk
C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Программа Spu_orb.lnk
C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Руководство пользователя.lnk
C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Удалить Spu_orb.lnk
C:\Documents and Settings\МВА\Главное меню\Программы\Total Commander\SamLab.ws - New Soft.lnk
C:\Program Files\Total Commander\Sam Lab.url
C:\Documents and Settings\МВА\Главное меню\Программы\Пульс-плюс\BSmeta НП\Internet-Обновление Бухучет НП.lnk
C:\Documents and Settings\МВА\Главное меню\Программы\Пульс-плюс\BSmeta НП\Бухучет НП.lnk
C:\Documents and Settings\МВА\Мои документы\Василина\Ярлык для Шаблон на субсидии по ээнергии.lnk
C:\Documents and Settings\МВА\Рабочий стол\Ярлык для AA_v3.lnk
C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Dr.Web Scanner.lnk
C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Бюджетная отчетность (2).lnk
C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Бюджетная отчетность.lnk
C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Мониторинг налоговых доходов (65-н-упр).lnk
C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Программа Spu_orb.lnk
[/CODE]

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Настройки[/b] отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

готово

[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

что с проблемой?

dweb ругается на файлы(в корне С:) с расширением vbs названия этих файлов в основном совпадают с названием папок в том же корне. Пока не понял в какой момент они появляются.

[quote="invazion;1376847"]в корне С с расширением vbs[/quote]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.


- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования MBAM.[/url]

всё сделал.

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин MBAM[/url] только

[CODE]Trojan.Agent, HKU\S-1-5-21-1757981266-1897051121-839522115-1003\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|SysDebug32, t“ПJ "ЋВФЫc M«uЮЊ']KU© xпхх#њ,6РpEFї#Тгўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:ЉWН¤ Kж+Ј Б* ЈуRa§ОД Х˜–гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:љу/wJ™Ыg4©Ђ1ќч± гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:Бgк€;s , , [17fbbcf5059453e32c3c9fca60a30af6][/CODE]
что с проблемой?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+
- выполните такой скрипт в AVZ
[code]
begin
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\ShellNew\S-5-1-56-2583390153-6505959084-958661815-1351\fjmdoq.sfw', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/code]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

В карантин поместил...

[ATTACH=CONFIG]626973[/ATTACH]
Dr Web удаляет эти файлы, но через некоторое время они снова появляются.

скрипт AVZ выполнили?

Да выполнил. Но он пустой.
Походу нашел вирус "HPLaserJetService.exe"
При перезапуске запускается. Висит в диспетчере. Файлы начинают появляться.
После выгрузки его в диспетчере перестают появляться. Но я не нашел где прописан его запуск.

Запустил его вручную, вылезла ошибка [ATTACH=CONFIG]626977[/ATTACH]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Удалил этот файл. После перезагрузки работа вируса не проявляется. Копию файла сохранил на всякий случай.
Кстати через просмотр в тотал коммандере говорит что это архив arj sfx.

[quote="invazion;1377101"]Копию файла сохранил на всякий случай.[/quote]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

+ поищите у себя поиском файл [B]fjmdoq.sfw[/B] если найдёте, то также пришлите в карантин.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="invazion;1377101"]Походу нашел вирус "HPLaserJetService.exe"[/quote]
Путь к файлу если не сложно напишите, случайно это не он?

[CODE]c:\program files\hewlett-packard\hplaserjetservice\hplaserjetservice.exe[/CODE]
на вирус не очень похоже, по [URL="https://www.virustotal.com/ru/file/3f57ce29b52d32f7061407b63c4a9786f5b623e9f9f1121b02182de044110d08/analysis/"]вирустотал[/URL] файл известен с 2010 года.

fjmdoq.sfw нет ни на одном диске
карантин прикрепил

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

да путь такой

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

после его удаления файлы не появляются

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а если его поместить обратно и перезагрузить - для опыта)

1) Верните этот файл на место.

2) Сделайте лог [URL="http://technet.microsoft.com/ru-ru/bb896645.aspx"]Process Monitor[/URL] следующим образом: запустите Process Monitor -> воспроизведите проблему -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например [url]http://rghost.ru[/url]

Перед тем как делать лог Process Monitor по возможности выгрузите все лишние программы (чтобы лог был меньше).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\мва\application data\microsoft\internet explorer\quick launch\opera.lnk - [B]HEUR:Trojan.WinLNK.StartPage.gena[/B][*] c:\documents and settings\мва\рабочий стол\ярлыки с рабочего стола\opera.lnk - [B]HEUR:Trojan.WinLNK.StartPage.gena[/B][*] \documents and settings.vbs - [B]Trojan.VBS.Agent.yx[/B][/LIST][/LIST]