Показано с 1 по 14 из 14.

Файлы типа 60АС.ехе и ярлыкм вместо папок [Trojan.Win32.Jorik.IRCbot.wdk, Trojan.Win32.Jorik.Tedroo.cjy ] (заявка № 134714)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2012
    Адрес
    Магадан
    Сообщений
    28
    Вес репутации
    23

    Файлы типа 60АС.ехе и ярлыкм вместо папок [Trojan.Win32.Jorik.IRCbot.wdk, Trojan.Win32.Jorik.Tedroo.cjy ]

    В общем суть в заголовке: при подключении съемных носителей к ноутбуку на них все файлы становятся ярлыками, также в папке Roaming куча экзешников со странными названиями типа 3F8D.ехе т.п. При выходе в интернет антивирус (Avast) постоянно что-то блокирует.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) Levin249, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Kseniya\AppData\Roaming\Microsoft\Gkkqkw.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\d4ac.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\d4ac.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\8ca.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\8ca.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\487a.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\487a.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\3411.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\3411.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\2cfd.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\2cfd.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\235d.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\235d.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\159.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\159.exe','');
     TerminateProcessByName('c:\users\kseniya\appdata\roaming\1161.exe');
     QuarantineFile('c:\users\kseniya\appdata\roaming\1161.exe','');
     DeleteFile('c:\users\kseniya\appdata\roaming\1161.exe');
     DeleteFile('c:\users\kseniya\appdata\roaming\159.exe');
     DeleteFile('c:\users\kseniya\appdata\roaming\235d.exe');
     DeleteFile('c:\users\kseniya\appdata\roaming\2cfd.exe');
     DeleteFile('c:\users\kseniya\appdata\roaming\3411.exe');
     DeleteFile('c:\users\kseniya\appdata\roaming\487a.exe');
     DeleteFile('c:\users\kseniya\appdata\roaming\8ca.exe');
     DeleteFile('c:\users\kseniya\appdata\roaming\d4ac.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wi68');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepro0xz');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepdro0xz');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
     DeleteFile('C:\Users\Kseniya\AppData\Roaming\Microsoft\Gkkqkw.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gkkqkw');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    27.01.2012
    Адрес
    Магадан
    Сообщений
    28
    Вес репутации
    23
    Скрипт выполнил логи прикрепляю. В папке roaming стало еще больше таких файлов (2BC8.exe, 46BF.exe и т.д.)
    Последний раз редактировалось Levin249; 09.03.2013 в 01:37.

  7. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,143
    Вес репутации
    929
    > Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
    if not IsWOW64 then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
     QuarantineFile('C:\Users\Kseniya\AppData\Roaming\Microsoft\Gkkqkw.exe','');
     QuarantineFile('C:\Users\Kseniya\AppData\Roaming\2E6B.exe','mbam');
     QuarantineFile('C:\Users\Kseniya\AppData\Roaming\3ACB.exe','mbam');
     DeleteFile('C:\Users\Kseniya\AppData\Roaming\3ACB.exe');
     DeleteFile('C:\Users\Kseniya\AppData\Roaming\2E6B.exe');
     DeleteFile('C:\Users\Kseniya\AppData\Roaming\Microsoft\Gkkqkw.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gkkqkw');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер будет перезагружен.

    > Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine_2.zip.

    > Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

    Сделайте отчет программы RSIT.

    _________________
    > как выполнить скрипт в AVZ

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    27.01.2012
    Адрес
    Магадан
    Сообщений
    28
    Вес репутации
    23
    При прикреплении файла quarantine_2 выскакивает сообщение, что файл уже загружен.

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Установите все обновления для системы, начиная с Service Pack 1

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #8
    Junior Member Репутация
    Регистрация
    27.01.2012
    Адрес
    Магадан
    Сообщений
    28
    Вес репутации
    23
    К сожалению у нас в Магаданской области мы все еще платим за каждый Мб 2-3рубля, в данный момент инет не позволяет установить все обновления. Без этого никак? Лог ComboFix прилагаю.

  12. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Жить с дырявой системой - значит, находится в опасности повторного заражения. Решать Вам

    Что сейчас с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    27.01.2012
    Адрес
    Магадан
    Сообщений
    28
    Вес репутации
    23
    Полностью с вами согласен. Т.е. SP1 безопасней? Как быть с зараженными флешками и ярлыками на них? Заранее спасибо.
    Ах да, проблема вроде решена, но боюсь вставлять съемные накопители.

  15. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,143
    Вес репутации
    929
    Цитата Сообщение от Levin249 Посмотреть сообщение
    Как быть с зараженными флешками и ярлыками на них? Заранее спасибо.
    Вставьте флешку, но не открывайте ее. По умолчанию никакого автозапуска в Windows 7 не происходит.
    Скачайте и запустите сканер Dr.Web CureIt, просканируйте им сменный носитель, он должен исправить.

    Цитата Сообщение от Levin249 Посмотреть сообщение
    Т.е. SP1 безопасней?
    Естественно! А для чего по-вашему Майкрософт выпускает эти пакеты обновлений? Просто так?
    Контроль учетных записей включите, если он отключен. К уведомлениям привыкнете, а уровень защиты резко возрастает.

  16. Это понравилось:


  17. #12
    Junior Member Репутация
    Регистрация
    27.01.2012
    Адрес
    Магадан
    Сообщений
    28
    Вес репутации
    23
    Спасибо огромное, отличный у вас сервис.
    P.S. Cureit не обнаружил ничего на флешках. И еще вопрос: все вышеперечисленное применимо к другому домашнему компу или логи делать с него отдельно?

  18. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,143
    Вес репутации
    929
    Код:
    Attrib /S /D -s -h
    Скопируйте текст из рамки в блокнот и сохраните в корень флешки с именем restore.bat (имя может быть любым, главное - наличие расширения .bat).

    Запустите этот файл. В зависимости от кол-ва файлов и каталогов процес может занять до 10 минут.


    Цитата Сообщение от Levin249 Посмотреть сообщение
    И еще вопрос: все вышеперечисленное применимо к другому домашнему компу или логи делать с него отдельно?
    Нет. Другой компьютер в отдельной теме.

  19. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-46689\\24naq.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
      2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-917678\\nepro0xz.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
      3. c:\\users\\kseniya\\appdata\\roaming\\d4ac.exe - Trojan.Win32.Jorik.Tedroo.cjy ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Trojan.Generic.KD.827479, NOD32: Win32/SpamTool.Tedroo.AQ trojan, AVAST4: Win32:Jorik-SI [Trj] )
      4. c:\\users\\kseniya\\appdata\\roaming\\microsoft\\g kkqkw.exe - Backdoor.Win32.Ruskill.rgr ( DrWEB: BackDoor.Bulknet.846, BitDefender: Gen:Variant.Dropper.73, AVAST4: Win32:Ruskill-HU [Trj] )
      5. c:\\users\\kseniya\\appdata\\roaming\\159.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
      6. c:\\users\\kseniya\\appdata\\roaming\\235d.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
      7. c:\\users\\kseniya\\appdata\\roaming\\487a.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
      8. c:\\users\\kseniya\\appdata\\roaming\\8ca.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Levin249, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вместо папок на флэшке - ярлыки
      От receptor в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.06.2012, 12:26
    2. Ярлыки вместо папок на flesh
      От Bizant в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.01.2012, 17:17
    3. На флешке ярлыки вместо папок
      От Ильфат в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.10.2011, 20:40
    4. Вместо папок ярлыки
      От Megah(f)*cker в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.08.2011, 20:37
    5. Вместо всех папок появились .exe файлы
      От Leka17 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.05.2011, 23:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01336 seconds with 16 queries