Папки-ярлыки на съемных носителях [Trojan.Win32.Jorik.Tedroo.cia, Trojan.Win32.Jorik.IRCbot.wdk
]
Здравствуйте, проблема заключается в том, что при подключении к ноутбуку любых съемных носителей все папки, имеющиеся на них, скрываются и создаются ярлыки ссылающиеся на папку RECYCLED с *.exe файлом, который наверняка прописался в компьютере, т.к. попытки открыть эти самые ярлыки предпринимались. Проверка Касперским ничего не дала
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Евгений Харченко, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Yfdodm.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Yfdodm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yfdodm'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Повторные логи
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\Documents and Settings\Admin\Application Data\1D.exe', 'MBAM: Trojan.ChinAd'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\13.exe', 'MBAM: Trojan.ChinAd'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\15.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\1B.exe', 'MBAM: Trojan.ChinAd'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\1C.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\1E.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\1F.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\20.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\8.exe', 'MBAM: Trojan.ChinAd'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\B.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\C.exe', 'MBAM: Trojan.Bublik'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\D.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\флека\KINGSTON (F)\RECYCLED\d1ff3a37.exe', 'MBAM: Trojan.Ransom'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\24.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\25.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\26.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\27.exe', 'MBAM: Trojan.Agent'); DeleteFile('C:\Documents and Settings\Admin\Application Data\1D.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\13.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\15.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\16.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\1B.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\1C.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\1E.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\1F.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\20.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\8.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\B.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\C.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\D.exe'); DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\флека\KINGSTON (F)\RECYCLED\d1ff3a37.exe'); DeleteFile('D:\Downloads\Архивы\avz4\avz4\Quarantine\2013-01-06\avz00001.dta'); DeleteFile('D:\Downloads\Архивы\avz4\avz4\Quarantine\2013-01-06\avz00002.dta'); DeleteFile('D:\Downloads\Архивы\avz4\avz4\Quarantine\2013-01-06\avz00003.dta'); DeleteFile('C:\Documents and Settings\Admin\Application Data\24.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\25.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\26.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\27.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Как-то так
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Теперь на флешке вместо RECYCLED создается папка .Trashes, с файлом расширения *.com В каталоге d&s/admin/application data периодически появляются exe-файлы обнаруживающиеся МБАМом. Включил Касперского, он заблокировал несколько загрузок подобных этой: http://146.185.246.89/brenw7.exe (различались только файлы загрузок), якобы инициированных windows/system32/mspaint.exe
Последний раз редактировалось Евгений Харченко; 07.01.2013 в 14:26.
Установите все новые обновления для Windows
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После повторного сканирования Касперским из d&s/admin/application data был удален, видимо, настоящий исполнительный файл вируса, снявший конспирацию, после чего проблема исчезла. Спасибо за ваши труды и своевременную поддержку
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 69
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\b.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 )
- c:\\documents and settings\\admin\\application data\\c.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 )
- c:\\documents and settings\\admin\\application data\\d.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\admin\\application data\\microsoft\\yfdodm.exe - Trojan-Ransom.Win32.Foreign.scu ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.775314, AVAST4: Win32:Trojan-gen )
- c:\\documents and settings\\admin\\application data\\1b.exe - Trojan.Win32.Jorik.Tedroo.cia ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Gen:Variant.Kazy.123235, AVAST4: Win32:Jorik-RX [Trj] )
- c:\\documents and settings\\admin\\application data\\1c.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 )
- c:\\documents and settings\\admin\\application data\\1e.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\admin\\application data\\1f.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 )
- c:\\documents and settings\\admin\\application data\\13.exe - Trojan.Win32.Jorik.Tedroo.cia ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Gen:Variant.Kazy.123235, AVAST4: Win32:Jorik-RX [Trj] )
- c:\\documents and settings\\admin\\application data\\14.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 )
- c:\\documents and settings\\admin\\application data\\15.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 )
- c:\\documents and settings\\admin\\application data\\16.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\admin\\application data\\20.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\admin\\application data\\24.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 )
- c:\\documents and settings\\admin\\application data\\25.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 )
- c:\\documents and settings\\admin\\application data\\26.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 )
- c:\\documents and settings\\admin\\application data\\27.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 )
- c:\\documents and settings\\admin\\application data\\8.exe - Trojan.Win32.Jorik.Tedroo.cia ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Gen:Variant.Kazy.123235, AVAST4: Win32:Jorik-RX [Trj] )
- c:\\documents and settings\\admin\\рабочий стол\\флека\\kingston (f)\\recycled\\d1ff3a37.exe - Trojan-Ransom.Win32.Foreign.scu ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.775314, AVAST4: Win32:Trojan-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-106669\\w68v12.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Евгений Харченко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
