-
Junior Member
- Вес репутации
- 47
Вирус скрывающий папки
Здравствуйте. У меня проблемма. недавно появился вирус который скрывает папки на сменных usb носителях и это притом что я уже 1 раз переустанавливал windows. (+ скрыл на съёмном диске) Сканировался утилитой drweb cure it (последняя версия) находит много заражённых файлов (не удаляет- перемещает в карантин) Далее создаёт файлы наподобии. Антивирус стоит eset smart security 4. Помогите плизз.Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Alex_beat, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Отключите восстановление системы.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\51.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
QuarantineFile('C:\WINDOWS\system32\18.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Application Data\Dmrurx.exe','');
DeleteFile('C:\Documents and Settings\Александр\Application Data\Dmrurx.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmrurx');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\18.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи AVZ
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 47
-
Удалите с помощью МВАМ:
Код:
i:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
i:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
j:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
j:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
k:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
k:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
d:\всё откаты\откат самыыыыыыйййй новыйййййййййй!!!!!!!!!\documents and settings\local settings\Temp\0.5765670011417177.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат самыыыыыыйййй новыйййййййййй!!!!!!!!!\documents and settings\local settings\Temp\userinit.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат новый\documents and settings\guest\local settings\Temp\0.5765670011417177.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат новый\documents and settings\guest\local settings\Temp\userinit.exe (Heuristics.Shuriken) -> No action taken.
Сделайте новый лог МВАМ ...
-
-
Junior Member
- Вес репутации
- 47
-
- удалите в MBAM
Код:
Зараженные файлы:
c:\documents and settings\networkservice\application data\Jorurd.exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5DY6RLH3\74ms[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YIEJBPC3\200hnfkvxx[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YIEJBPC3\74ms[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\1B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\1BF.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\1FC.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\26.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\2B.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\36.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\38.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\50.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\54.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\9.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\A.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\A7.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\Jorurd.exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\D.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\E.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\F.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\5E.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\10.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\11.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\13.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\14.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\15.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\206.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\211.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\43.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\4B.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\5A.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\C.tmp (Trojan.Downloader) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00002.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00003.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00011.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00012.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00013.dta (Trojan.Agent) -> No action taken.
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 47
-
-
-
Junior Member
- Вес репутации
- 47
Проблемма
ну вроде бы врус пропал, спасибо)) но уменя заразился от моей флешки ещё 1 компьютер( там тоже MBAM логи делать?)+ ещё такой вопрос у меня где то 75 процентов установок и архивов не устанавливаются( может это быть связано с вирусом и решение проблеммы плизз.
-
Сообщение от
Alex_beat
ещё 1 компьютер
Создавайте новую тему. Нужен ли МВАМ, по ходу дела будет видно.
Сообщение от
Alex_beat
меня где то 75 процентов установок и архивов не устанавливаются( может это быть связано с вирусом и решение проблеммы плизз.
Какую ошибку выдаёт?
-
-
Junior Member
- Вес репутации
- 47
Ошибка установки
Ну при установки - произошла ошибка при попытке копировании файла(исходный файл повреждён) или просто устанавливает примерно 10 процентов от программы\игры, архивы- помойму пишет что фаил в архиве повреждён ну или на подобии((Что делать подскажте пожалуйста
А тот компьютер просто заразился от моего через флеш(
Последний раз редактировалось Alex_beat; 25.06.2011 в 23:29.
-
Junior Member
- Вес репутации
- 47
+ Всё это происходит на съёмном диске(( Будет ли смысл если форматнуть его?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\александр\\application data\\dmrurx.exe - Backdoor.Win32.Ruskill.hs ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.KDV.260883, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\aadrive32.exe - Trojan-Downloader.Win32.Injecter.fyv ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6293309, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-ICH [Trj] )
- c:\\windows\\jodrive32.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
- c:\\windows\\system32\\01.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
- c:\\windows\\system32\\08.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\system32\\18.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\system32\\20.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\system32\\38.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\system32\\50.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\system32\\51.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\system32\\56.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
- c:\\windows\\system32\\68.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
- c:\\windows\\system32\\73.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
- c:\\windows\\system32\\88.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
-