Показано с 1 по 10 из 10.

TR/Downloader.Gen, прячет папки на флешках (заявка № 104642)

  1. #1
    Junior Member Репутация
    Регистрация
    03.08.2010
    Сообщений
    15
    Вес репутации
    28

    Exclamation TR/Downloader.Gen, прячет папки на флешках

    Доброго времени суток!
    AVIRA распознаёт этот вирус как TR/Downloader.Gen trojan. Но не вылечивает до конца.
    В папке ...system32\ создаются файлы .tmp и .exe с именами из цифр.
    На флешках делает папки скрытыми и создаёт к ним файлы .lnk. Ещё создаёт папку RECYCLER с подозрительным exe-шником.
    Помогите, пожалуйста! Логи прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) sasa902, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    В HiJackThis пофиксите:

    Код:
    O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\68.exe');
     TerminateProcessByName('C:\Documents and Settings\Remontnik\Application Data\9.tmp');
     TerminateProcessByName('C:\WINDOWS\jodrive32.exe');
     TerminateProcessByName('C:\WINDOWS\system32\bsysmgr.exe');
     QuarantineFile('C:\WINDOWS\system32\85.exe','');
     QuarantineFile('C:\WINDOWS\system32\80.exe','');
     QuarantineFile('C:\WINDOWS\system32\56.exe','');
     QuarantineFile('C:\WINDOWS\system32\27.exe','');
     QuarantineFile('C:\WINDOWS\system32\hcnrv.exe','');
     QuarantineFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe','');
    QuarantineFile('C:\Documents and Settings\Remontnik\Application Data\9.tmp','');
    QuarantineFile('C:\WINDOWS\jodrive32.exe','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
    QuarantineFile('C:\WINDOWS\system32\bsysmgr.exe','');
    DeleteFile('C:\Documents and Settings\Remontnik\Application Data\9.tmp');
    DeleteFile('C:\WINDOWS\jodrive32.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
    DeleteFile('C:\WINDOWS\system32\bsysmgr.exe');
     DeleteFile('C:\WINDOWS\system32\hcnrv.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\56.exe');
     DeleteFile('C:\WINDOWS\system32\80.exe');
     DeleteFile('C:\WINDOWS\system32\85.exe');
     DeleteFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Последний раз редактировалось миднайт; 28.06.2011 в 20:29. Причина: добавил пару запятых )
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    03.08.2010
    Сообщений
    15
    Вес репутации
    28
    Карантин прислал. Логи прилагаю.
    Но: сканирование MBAM привело к зависанию ПК на 50-й минуте, так его лога нет...
    Что делать дальше?

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Для кого написано было???
    Цитата Сообщение от thyrex Посмотреть сообщение
    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Если этот шаг пропустить, лечиться бесполезно.

    Приступайте. По завершению - новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    03.08.2010
    Сообщений
    15
    Вес репутации
    28
    Обновился!!!
    Высылаю логи.
    Эффект на флешках: скрывание папок и создание ярлыков с именами папок продолжается. Ярлыки указывают на .exe файл в Recycler.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Удалите в МВАМ только указанные строки
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342} (Backdoor.Bifrose) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Worm.AutoRun.Gen) -> Value: Tnaww -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Worm.AutoRun.Gen) -> Value: 12CFG214-K641-12SF-N85P -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent.MSGen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
    
    Зараженные папки:
    c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100 (Trojan.Palevo) -> No action taken.
    
    Зараженные файлы:
    c:\documents and settings\remontnik\local settings\temporary internet files\Content.IE5\GSPV0MDF\94681403[2].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\User\local settings\temporary internet files\Content.IE5\TTR6FCQV\94681403[1].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\User\local settings\temporary internet files\Content.IE5\TTR6FCQV\94681403[2].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\User\local settings\temporary internet files\Content.IE5\TTR6FCQV\94681403[3].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\User\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\Desktop.ini (Trojan.Palevo) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    03.08.2010
    Сообщений
    15
    Вес репутации
    28
    Доброго времени суток!
    Удалил по списку. Лог прикрепляю.
    Жду дальнейших указаний.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\remontnik\\application data\\9.tmp - Trojan.Win32.Scar.edvh ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.KDV.270540, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Slenugga [Trj] )
      2. c:\\recycler\\kos-2-3-41-0000010000-0000010000-0000010000-0100\\wincache.exe - Backdoor.Win32.Agent.bkny ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
      3. c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.Scar.edvh ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.KDV.270540, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Slenugga [Trj] )
      4. c:\\windows\\system32\\27.exe - Trojan.Win32.Pakes.pim ( DrWEB: BackDoor.IRC.Bot.1407, BitDefender: Trojan.Generic.KD.265575, AVAST4: Win32:MalOb-EI [Cryp] )
      5. c:\\windows\\system32\\56.exe - Trojan.Win32.Pakes.pim ( DrWEB: BackDoor.IRC.Bot.1407, BitDefender: Trojan.Generic.KD.265575, AVAST4: Win32:MalOb-EI [Cryp] )
      6. c:\\windows\\system32\\80.exe - Trojan.Win32.Pakes.pim ( DrWEB: BackDoor.IRC.Bot.1407, BitDefender: Trojan.Generic.KD.265575, AVAST4: Win32:MalOb-EI [Cryp] )
      7. c:\\windows\\system32\\85.exe - Trojan.Win32.Pakes.pim ( DrWEB: BackDoor.IRC.Bot.1407, BitDefender: Trojan.Generic.KD.265575, AVAST4: Win32:MalOb-EI [Cryp] )


  • Уважаемый(ая) sasa902, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. На флешках появляются непонятные папки.
      От Akson в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.02.2012, 22:00
    2. Ответов: 6
      Последнее сообщение: 09.10.2011, 15:46
    3. Ответов: 15
      Последнее сообщение: 05.07.2011, 01:39
    4. Скрытые папки и файлы на флешках.
      От -brad- в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.05.2011, 12:24
    5. появляются папки .exe на флешках (заявка №43904)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 23.12.2010, 00:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00041 seconds with 16 queries