Вирус создает .scr .pif .rar с именем папки

**S_L_A_V_A** · 29.04.2020, 10:23

Добрый день. Вирус создает .scr .pif .rar с именем папки в которой находится.
сам исполняемый файл сидел в temp, реестре, в windir - был удален вручную, затем сканирование KVRT и CureIt.
оба находят угрозы, блокируют их, удаляют, но вирус продолжает плодиться как ни в чем не бывало!

могу почти каждый день удалять по много+ rar_ов с упакованным вирусом и вордовскими документами.
запустил автологгер и прилагаю архив созданный им.

дополню: вирус плодится на расшаренной общей папке!! к нему могут обращаться еще как минимум 6-9 пк в день

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.04.2020, 10:24

Уважаемый(ая) S_L_A_V_A, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 29.04.2020, 19:06

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\SendTo\MyChat.lnk"          -> ["C:\Users\Администратор\AppData\Local\NSS\MyChat Client\sendto.exe"]
>>>  "C:\Users\Администратор\WINDOWS\ARJ.PIF"      -> ["ARJ.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\LHA.PIF"      -> ["LHA.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\PKUNZIP.PIF"  -> ["PKUNZIP.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\PKZIP.PIF"    -> ["PKZIP.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\RAR.PIF"      -> ["RAR.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\UC.PIF"       -> ["UC.EXE"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Информация о сборке.lnk"  -> ["C:\Program Files (x86)\Total Commander\TCPPhelp.htm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Полезные утилиты\Чистка реестра системы.lnk"  -> ["C:\Program Files (x86)\Total Commander\Utilites\RegCleaner\WiseRegistryCleaner.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1002\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User 'unknown: S-1-5-21-1161148302-586986377-59143214-1002')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1005\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '332-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1018\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '335-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1021\..\Run: [ejols] = C:\Users\339-1\AppData\Local\Temp\2\ezuhewttjvyaiultcxsna.exe  (file missing) (User '339-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1021\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '339-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1021\..\RunOnce: [irabmsdrv] = ezuhewttjvyaiultcxsna.exe . (file missing) (User '339-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1021\..\RunOnce: [pvbzhk] = C:\Users\339-1\AppData\Local\Temp\2\cvozukfdrbccishnung.exe . (file missing) (User '339-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1022\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '343-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1028\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '112-0')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1029\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '112-2')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1031\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '123-2')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1035\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '328-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1038\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User 'Samsung')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1039\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '226-1')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1043\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User '123-3')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1051\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User 'Admin')
O4 - HKU\S-1-5-21-1161148302-586986377-59143214-1058\..\Run: [rzhhrwgt] = izqzsgzvhpomqylpu.exe  (file missing) (User 'SysAdmin')
O4 - MSConfig\startupreg: ejols [command] = C:\Users\Администратор\AppData\Local\Temp\1\ezuhewttjvyaiultcxsna.exe (HKCU) (2019/12/05) (file missing)
O4 - MSConfig\startupreg: rzhhrwgt [command] = rjblfuolyhhgluintl.exe (HKCU) (2019/12/05) (file missing)
O4 - Startup other users: C:\Users\330-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.rar

Это не источник заражения.
Ищите и лечите сетевого червя на других компьютерах с помощью KVRT или Dr. Web CureIt!, до полного излечения не подключайте систему к сети.

**CyberHelper** · 29.04.2020, 19:16

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Вирус создает .scr .pif .rar с именем папки (заявка № 224921)

Опции темы