Printable View
Добрый день. Уже не знаю как бороться с этим вирусом. Минимум на 6 компах этот вирус всплывает. на 4 из 6 жалуется на общие папки, остальные 2 ПК жалуются на файлы что открыты для других.
Заранее спасибо за помощь.
Логи прилагаю.
P.S. Логи одного из двух компов, на котором открытые папки для других пк
Уважаемый(ая) [B]mysticaltale[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Ищите источник заразы на других компьютерах, этот чист.
Добрый день.
Кажется я нашел источник заразы на другом пк.
У компа закрылся доступ к реестру, не запускаются антивирусные программы и при вводе в поисковик слов типа "avast" браузер сразу закрывается или например как зайдешь в папку хайджека она сразу сама закрывается.
Еще в папке temp находятся подозрительные файлы которые никак не удаляются. (wgkuwjs, atnrvpvjcvo и zczcxdfwfjratmvqtbzczcxdfwfjratmvqtbzczcxdfwfjra.mvq)
Еще они прописаны в автозапуске.
Не знаю, нужно ли создавать новую тему для этого, но логи с автологгера прилагаю
Вообще говоря, одна тема - один компьютер, но, раз уж первый чист, продолжим тут.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\admin\appdata\local\temp\vobufbtaztrqzihs.exe');
TerminateProcessByName('c:\users\admin\appdata\local\temp\wgkuwjs.exe');
QuarantineFile('C:\autorun.inf', '');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\cwkeqngoojiisccoi.exe', '');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\vobufbtaztrqzihs.exe .', '');
QuarantineFile('c:\users\admin\appdata\local\temp\vobufbtaztrqzihs.exe', '');
QuarantineFile('c:\users\admin\appdata\local\temp\wgkuwjs.exe', '');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\ywomcdamqpswkycsqtmkc.exe .', '');
QuarantineFile('C:\wgkuwjs.bat', '');
QuarantineFile('C:\Windows\system32\jgxujjfqtrtwjwzolnfc.exe', '');
QuarantineFile('C:\Windows\system32\lgvqdbvefbbcnyzmhh.exe', '');
QuarantineFile('C:\Windows\system32\vobufbtaztrqzihs.exe', '');
QuarantineFile('C:\Windows\system32\wsiesrmwyvwykwymija.exe', '');
QuarantineFile('D:\autorun.inf', '');
QuarantineFile('D:\wgkuwjs.bat', '');
QuarantineFile('E:\autorun.inf', '');
QuarantineFile('E:\wgkuwjs.bat', '');
DeleteFile('C:\autorun.inf', '');
DeleteFile('C:\Users\Admin\AppData\Local\Temp\cwkeqngoojiisccoi.exe', '');
DeleteFile('C:\Users\Admin\AppData\Local\Temp\cwkeqngoojiisccoi.exe', '32');
DeleteFile('C:\Users\Admin\AppData\Local\Temp\cwkeqngoojiisccoi.exe', '64');
DeleteFile('C:\Users\Admin\AppData\Local\Temp\vobufbtaztrqzihs.exe .', '32');
DeleteFile('c:\users\admin\appdata\local\temp\vobufbtaztrqzihs.exe', '');
DeleteFile('C:\Users\Admin\AppData\Local\Temp\vobufbtaztrqzihs.exe', '32');
DeleteFile('c:\users\admin\appdata\local\temp\wgkuwjs.exe', '');
DeleteFile('C:\Users\Admin\AppData\Local\Temp\ywomcdamqpswkycsqtmkc.exe .', '32');
DeleteFile('C:\wgkuwjs.bat', '');
DeleteFile('C:\Windows\system32\jgxujjfqtrtwjwzolnfc.exe', '32');
DeleteFile('C:\Windows\system32\jgxujjfqtrtwjwzolnfc.exe', '64');
DeleteFile('C:\Windows\system32\lgvqdbvefbbcnyzmhh.exe', '32');
DeleteFile('C:\Windows\system32\vobufbtaztrqzihs.exe', '');
DeleteFile('C:\Windows\system32\vobufbtaztrqzihs.exe', '32');
DeleteFile('C:\Windows\system32\wsiesrmwyvwykwymija.exe', '32');
DeleteFile('C:\Windows\system32\wsiesrmwyvwykwymija.exe', '64');
DeleteFile('D:\autorun.inf', '');
DeleteFile('D:\wgkuwjs.bat', '');
DeleteFile('E:\autorun.inf', '');
DeleteFile('E:\wgkuwjs.bat', '');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cougkzkkc');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'nclahznqlbvq');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'mcmckdswsjeag');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'vipchxjkdr');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cougkzkkc', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nclahznqlbvq', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qiumwriomfcaiqo', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'lwbmpdnm');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'qemagxkmgvo');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cougkzkkc');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qiumwriomfcaiqo');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nepgpjzebtpmta');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'vipchxjkdr');
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(10);
ExecuteRepair(17);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Только сейчас добрался до ПК, так как 3 дня выходных было.
Выполнил скрипт и выслал файл по ссылке.
Анализ uVS прилагаю.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
delref %Sys32%\DRIVERS\VDM3OTUZ.SYS
zoo E:\AUTORUN.INF
delall E:\AUTORUN.INF
zoo D:\AUTORUN.INF
delall D:\AUTORUN.INF
zoo %SystemDrive%\AUTORUN.INF
delall %SystemDrive%\AUTORUN.INF
regt 5
apply
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Скрипт выполнил, но в папке uVS не появился архив с именем, начинающимся с ZOO_
Остальные файлы прилагаю.
[QUOTE][color=red][b]Автоматическое обновление отключено[/b][/color]
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156019 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-087.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color][/QUOTE]Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами.
Устанавливать обязательно.
Чудо, как я понимаю, искоренили?
Чудо все еще живет. На другом ПК есть 4 папки с открытым доступом для всех ПК . Сам ПК чист, сканировал его утилитой drweb и утилитой от касперского, но чудо сидит именно в папках с открытым доступом (в каждой папке, например папке "irina" сидит exe'шник, bat'ник или tif'ник с таким же названием)
Есть еще сетевое хранилище с доступными для всех папками, в них точно такая же беда сидит.
Это значит что чудо сидит в другом ПК и все еще терроризирует сетевые папки? Или как раз таки стоит искать проблему в ПК с открытыми папками и/или сетевом хранилище ?
Я имел ввиду, что на этом компьютере активного нет. Сетевых червей лучше лечить, отключив компьютер от сети, пройтись Dr.Web CureIT! или KVRT, и так, пока все не зачистите.
Спасибо. Буду каждый ПК так сканировать, пока не найду заразу.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]