Вирус создает файлы на флешке, отключает службы защиты. [Worm.Win32.Ngrbot.agnc ]

**Беслан Салихов** · 14.08.2014, 20:42

Прошу прощения, нужен лог после скрипта из поста #1, или архив из всех имеющихся логов, или что-то другое?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**regist** · 14.08.2014, 20:46

Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
```
;uVS v3.82 script [http://dsrt.dyndns.org]
adddir e:
adddir C:\RECYCLER
adddir C:\Users\q\AppData\Roaming
crimg
```
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

флешку на это время подключите.

**Беслан Салихов** · 14.08.2014, 21:11

http://rghost.ru/57469414

**regist** · 14.08.2014, 21:30

ок, теперь со второй флешкой аналогично образ создайте.

**Беслан Салихов** · 14.08.2014, 21:42

При извлечении флешки выдает "устройство еще используется..." Это нормально?

- - - Добавлено - - -

http://rghost.ru/57469952

**regist** · 14.08.2014, 21:59

Код:

E:\AUTORUN.INF

вам знаком? Если нет откройте блокнотом и напишите его содержимое тут.
Что с проблемой?

**Беслан Салихов** · 14.08.2014, 22:19

Ярлыки не создаются, флешки извлекаются спокойно, службы не отключаются. Похоже, все в норме. Спасибо огромное!

**regist** · 14.08.2014, 22:30

насчёт файла не ответили.

**Беслан Салихов** · 14.08.2014, 22:35

Я все файлы удалил уже с флешки, так как там оставались ярлыки. В авторане было три строчки, в первой [Autorun], во второй что-то вроде image=0, в третьей совсем не помню, вроде как-то так.

**regist** · 14.08.2014, 22:38

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**Беслан Салихов** · 14.08.2014, 22:45

Спасибо!

**CyberHelper** · 14.08.2014, 22:55

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\creativeaudio\jtkyyvgiu.exe - Trojan-Spy.Win32.Zbot.sbhb ( AVAST4: Win32:Malware-gen )
2. c:\progra~3\mslgcnm.exe - Trojan-Spy.Win32.Zbot.sbha
3. c:\recycler\s-1-5-21-0243556031-888888379-781863308-41139114\v2111941.exe - Trojan-Spy.Win32.Zbot.sbhb
4. c:\recycler\s-1-5-21-0243556031-888888379-781863308-41139114\v211941.exe - Trojan-Proxy.Win32.Lethic.bvp ( AVAST4: Win32:Malware-gen )
5. c:\recycler\s-1-5-21-0243556031-888888379-781863308-413341394\v2341.exe - Trojan-Proxy.Win32.Lethic.bvo ( BitDefender: Trojan.GenericKD.1805132, AVAST4: Win32:Malware-gen )
6. c:\recycler\s-1-5-21-0243556031-888888379-781863308-4187714\v287941.exe - Trojan-Spy.Win32.Zbot.ttuo
7. c:\recycler\s-1-5-21-0243556031-888888379-781863308-4491894\b4519911.exe - Trojan-Proxy.Win32.Lethic.bvq ( BitDefender: Trojan.GenericKD.1802986 )
8. \csuunbd.exe._a6481352d55fb29b8ca608d49b4a38c43f80 c8a1 - Worm.Win32.Ngrbot.agnc
9. c:\users\q\appdata\local\temp\adobe\reader_sl.exe - Worm.Win32.Ngrbot.agng
10. c:\users\q\appdata\roaming\identities\vdckcf.exe - Worm.Win32.Ngrbot.agng
11. \c731200._a6481352d55fb29b8ca608d49b4a38c43f80c8a1 - Worm.Win32.Ngrbot.agnc
12. \mslgcnm.exe._12901f93cb773ce8594677b8a396da8cfc45 e7ce - Trojan-Spy.Win32.Zbot.sbha

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Вирус создает файлы на флешке, отключает службы защиты. [Worm.Win32.Ngrbot.agnc ] (заявка № 164904)

Опции темы

Это понравилось:

Итог лечения

Похожие темы

Ошибка bogo0 после avz, проблема с выделение открытых программ [Worm.Win32.Ngrbot.afdx, , Worm.Win32.Ngrbot.afdv, not-a-virus:Server-FTP.Win32.SFH.a ]

Карантин CFEDBC1937E86BEB8B6638DC1CE70C47 [Trojan.Win32.Inject.ltlp, Worm.Win32.Ngrbot.xbk]

Тормозит нетбук. Файлы на флешках превратились в ярылки .lnk [Worm.Win32.Ngrbot.vwr, Worm.Win32.Ngrbot.vwh, Backdoor.Win32.Azbreg.xhh ]

Создаются ярлыки папок и файлов на USB-флешке. Меняется атрибут на скрытый [Trojan-Ransom.Win32.Blocker.ckap, , Worm.Win32.Ngrbot.uml ]

Папки становятся невидимыми на флешке [Worm.Win32.Ngrbot.ufa ]

Метки для этой темы

Ваши права в разделе