Вирус скрывающий папки

**Alex_beat** · 23.06.2011, 16:09

Здравствуйте. У меня проблемма. недавно появился вирус который скрывает папки на сменных usb носителях и это притом что я уже 1 раз переустанавливал windows. (+ скрыл на съёмном диске) Сканировался утилитой drweb cure it (последняя версия) находит много заражённых файлов (не удаляет- перемещает в карантин) Далее создаёт файлы наподобии. Антивирус стоит eset smart security 4. Помогите плизз.Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.06.2011, 16:11

Уважаемый(ая) Alex_beat, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Никита Соловьев** · 23.06.2011, 16:18

Отключите восстановление системы.

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\jodrive32.exe');
 TerminateProcessByName('c:\windows\aadrive32.exe');
 QuarantineFile('C:\WINDOWS\system32\88.exe','');
 QuarantineFile('C:\WINDOWS\system32\73.exe','');
 QuarantineFile('C:\WINDOWS\system32\68.exe','');
 QuarantineFile('C:\WINDOWS\system32\56.exe','');
 QuarantineFile('C:\WINDOWS\system32\51.exe','');
 QuarantineFile('C:\WINDOWS\system32\50.exe','');
 QuarantineFile('C:\WINDOWS\system32\38.exe','');
 QuarantineFile('C:\WINDOWS\system32\20.exe','');
 QuarantineFile('C:\WINDOWS\system32\18.exe','');
 QuarantineFile('C:\WINDOWS\system32\08.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.exe','');
 QuarantineFile('C:\WINDOWS\jodrive32.exe','');
 QuarantineFile('C:\WINDOWS\aadrive32.exe','');
 QuarantineFile('C:\Documents and Settings\Александр\Application Data\Dmrurx.exe','');
 DeleteFile('C:\Documents and Settings\Александр\Application Data\Dmrurx.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmrurx');
 DeleteFile('C:\WINDOWS\aadrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\jodrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
 DeleteFile('C:\WINDOWS\system32\01.exe');
 DeleteFile('C:\WINDOWS\system32\08.exe');
 DeleteFile('C:\WINDOWS\system32\18.exe');
 DeleteFile('C:\WINDOWS\system32\20.exe');
 DeleteFile('C:\WINDOWS\system32\38.exe');
 DeleteFile('C:\WINDOWS\system32\50.exe');
 DeleteFile('C:\WINDOWS\system32\51.exe');
 DeleteFile('C:\WINDOWS\system32\56.exe');
 DeleteFile('C:\WINDOWS\system32\68.exe');
 DeleteFile('C:\WINDOWS\system32\73.exe');
 DeleteFile('C:\WINDOWS\system32\88.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи AVZ

Сделайте лог MBAM

**Alex_beat** · 23.06.2011, 21:10

Вот логи

**Никита Соловьев** · 23.06.2011, 21:21

Удалите с помощью МВАМ:

Код:

i:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
i:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
j:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
j:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
k:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken.
k:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
d:\всё откаты\откат самыыыыыыйййй новыйййййййййй!!!!!!!!!\documents and settings\local settings\Temp\0.5765670011417177.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат самыыыыыыйййй новыйййййййййй!!!!!!!!!\documents and settings\local settings\Temp\userinit.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат новый\documents and settings\guest\local settings\Temp\0.5765670011417177.exe (Heuristics.Shuriken) -> No action taken.
d:\всё откаты\откат новый\documents and settings\guest\local settings\Temp\userinit.exe (Heuristics.Shuriken) -> No action taken.

Сделайте новый лог МВАМ ...

**Alex_beat** · 24.06.2011, 09:12

лог МВАМ

**polword** · 24.06.2011, 12:55

- удалите в MBAM

Код:

Зараженные файлы:
c:\documents and settings\networkservice\application data\Jorurd.exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5DY6RLH3\74ms[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YIEJBPC3\200hnfkvxx[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YIEJBPC3\74ms[1].exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\1B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\1BF.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\1FC.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\26.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\2B.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\36.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\38.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\50.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\54.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\9.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\A.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\A7.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\Jorurd.exe (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\D.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\александр\application data\E.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\application data\F.tmp (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\5E.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\10.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\11.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\13.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\14.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\15.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\206.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\211.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\43.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\4B.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\5A.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\александр\doctorweb\quarantine\C.tmp (Trojan.Downloader) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00002.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00003.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00011.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00012.dta (Spyware.BlackShadesNET) -> No action taken.
f:\откт\avz4\quarantine\2011-06-23\avz00013.dta (Trojan.Agent) -> No action taken.

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
  DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог MBAM

**Alex_beat** · 24.06.2011, 16:36

лог MBAM

**Никита Соловьев** · 24.06.2011, 23:04

Что с проблемой?

**Alex_beat** · 25.06.2011, 10:51

ну вроде бы врус пропал, спасибо)) но уменя заразился от моей флешки ещё 1 компьютер( там тоже MBAM логи делать?)+ ещё такой вопрос у меня где то 75 процентов установок и архивов не устанавливаются( может это быть связано с вирусом и решение проблеммы плизз.

**Никита Соловьев** · 25.06.2011, 11:58

Сообщение от Alex_beat

ещё 1 компьютер

Создавайте новую тему. Нужен ли МВАМ, по ходу дела будет видно.

Сообщение от Alex_beat

меня где то 75 процентов установок и архивов не устанавливаются( может это быть связано с вирусом и решение проблеммы плизз.

Какую ошибку выдаёт?

**Alex_beat** · 25.06.2011, 12:16

Ну при установки - произошла ошибка при попытке копировании файла(исходный файл повреждён) или просто устанавливает примерно 10 процентов от программы\игры, архивы- помойму пишет что фаил в архиве повреждён ну или на подобии((Что делать подскажте пожалуйста

А тот компьютер просто заразился от моего через флеш(

**Alex_beat** · 28.06.2011, 15:27

+ Всё это происходит на съёмном диске(( Будет ли смысл если форматнуть его?

**CyberHelper** · 29.06.2011, 15:27

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 14
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\александр\\application data\\dmrurx.exe - Backdoor.Win32.Ruskill.hs ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.KDV.260883, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Downloader-IAS [Trj] )
2. c:\\windows\\aadrive32.exe - Trojan-Downloader.Win32.Injecter.fyv ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6293309, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-ICH [Trj] )
3. c:\\windows\\jodrive32.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
4. c:\\windows\\system32\\01.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
5. c:\\windows\\system32\\08.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
6. c:\\windows\\system32\\18.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
7. c:\\windows\\system32\\20.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
8. c:\\windows\\system32\\38.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
9. c:\\windows\\system32\\50.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
10. c:\\windows\\system32\\51.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
11. c:\\windows\\system32\\56.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )
12. c:\\windows\\system32\\68.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
13. c:\\windows\\system32\\73.exe - Trojan.Win32.Inject.bekq ( DrWEB: BackDoor.IRC.Bot.886, BitDefender: Trojan.Generic.6155723, AVAST4: Win32:Dorkbot-BH [Trj] )
14. c:\\windows\\system32\\88.exe - Backdoor.Win32.Ruskill.hh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6250044, AVAST4: Win32:Downloader-IAS [Trj] )

Вирус скрывающий папки (заявка № 104263)

Опции темы