Junior Member (OID)
Вес репутации
42
Папки-ярлыки на съемных носителях [Trojan.Win32.Jorik.Tedroo.cia, Trojan.Win32.Jorik.IRCbot.wdk
]
Здравствуйте, проблема заключается в том, что при подключении к ноутбуку любых съемных носителей все папки, имеющиеся на них, скрываются и создаются ярлыки ссылающиеся на папку RECYCLED с *.exe файлом, который наверняка прописался в компьютере, т.к. попытки открыть эти самые ярлыки предпринимались. Проверка Касперским ничего не дала
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Евгений Харченко , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Yfdodm.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Yfdodm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yfdodm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
42
Вложения
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\1D.exe', 'MBAM: Trojan.ChinAd');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\13.exe', 'MBAM: Trojan.ChinAd');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\15.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\1B.exe', 'MBAM: Trojan.ChinAd');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\1C.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\1E.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\1F.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\20.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\8.exe', 'MBAM: Trojan.ChinAd');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\B.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\C.exe', 'MBAM: Trojan.Bublik');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\D.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\флека\KINGSTON (F)\RECYCLED\d1ff3a37.exe', 'MBAM: Trojan.Ransom');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\24.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\25.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\26.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\27.exe', 'MBAM: Trojan.Agent');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1D.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\13.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\15.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\16.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1B.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1C.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1E.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1F.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\20.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\8.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\B.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\C.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\D.exe');
DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\флека\KINGSTON (F)\RECYCLED\d1ff3a37.exe');
DeleteFile('D:\Downloads\Архивы\avz4\avz4\Quarantine\2013-01-06\avz00001.dta');
DeleteFile('D:\Downloads\Архивы\avz4\avz4\Quarantine\2013-01-06\avz00002.dta');
DeleteFile('D:\Downloads\Архивы\avz4\avz4\Quarantine\2013-01-06\avz00003.dta');
DeleteFile('C:\Documents and Settings\Admin\Application Data\24.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\25.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\26.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\27.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
42
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
42
Теперь на флешке вместо RECYCLED создается папка .Trashes, с файлом расширения *.com В каталоге d&s/admin/application data периодически появляются exe-файлы обнаруживающиеся МБАМом. Включил Касперского, он заблокировал несколько загрузок подобных этой: http://146.185.246.89/brenw7.exe (различались только файлы загрузок), якобы инициированных windows/system32/mspaint.exe
Последний раз редактировалось Евгений Харченко; 07.01.2013 в 14:26 .
Установите все новые обновления для Windows
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
42
После повторного сканирования Касперским из d&s/admin/application data был удален, видимо, настоящий исполнительный файл вируса, снявший конспирацию, после чего проблема исчезла. Спасибо за ваши труды и своевременную поддержку
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 69 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\admin\\application data\\b.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 ) c:\\documents and settings\\admin\\application data\\c.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 ) c:\\documents and settings\\admin\\application data\\d.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen ) c:\\documents and settings\\admin\\application data\\microsoft\\yfdodm.exe - Trojan-Ransom.Win32.Foreign.scu ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.775314, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\admin\\application data\\1b.exe - Trojan.Win32.Jorik.Tedroo.cia ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Gen:Variant.Kazy.123235, AVAST4: Win32:Jorik-RX [Trj] ) c:\\documents and settings\\admin\\application data\\1c.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 ) c:\\documents and settings\\admin\\application data\\1e.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen ) c:\\documents and settings\\admin\\application data\\1f.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 ) c:\\documents and settings\\admin\\application data\\13.exe - Trojan.Win32.Jorik.Tedroo.cia ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Gen:Variant.Kazy.123235, AVAST4: Win32:Jorik-RX [Trj] ) c:\\documents and settings\\admin\\application data\\14.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 ) c:\\documents and settings\\admin\\application data\\15.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011 ) c:\\documents and settings\\admin\\application data\\16.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen ) c:\\documents and settings\\admin\\application data\\20.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen ) c:\\documents and settings\\admin\\application data\\24.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 ) c:\\documents and settings\\admin\\application data\\25.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 ) c:\\documents and settings\\admin\\application data\\26.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 ) c:\\documents and settings\\admin\\application data\\27.exe - Trojan-Ransom.Win32.PornoAsset.bolq ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KD.822310 ) c:\\documents and settings\\admin\\application data\\8.exe - Trojan.Win32.Jorik.Tedroo.cia ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Gen:Variant.Kazy.123235, AVAST4: Win32:Jorik-RX [Trj] ) c:\\documents and settings\\admin\\рабочий стол\\флека\\kingston (f)\\recycled\\d1ff3a37.exe - Trojan-Ransom.Win32.Foreign.scu ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.775314, AVAST4: Win32:Trojan-gen ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-106669\\w68v12.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )