-
Junior Member
- Вес репутации
- 41
Создаются ярлыки на флешке и файлы становятся скрытыми [Worm.Win32.AutoRun.eyml
]
Здравствуйте! Очень срочно нужна помощь. На флешке стали создаваться ярлыки папок, а сами папки становятся невидимыми. С помощью bat-файла возможно сделать папки видимыми, но не надолго, и ярлыки так и не удаляются. В свойствах ярлыков прописан запуск файла OUxpjrRrBqXWwru.exe через cmd. Также на флешке появилась папка Trashes. Также блокируется доступ на сайт F-secure.
Проверка Cure IT, AVZ, NOD никаких результатов не дала.
Очень надеюсь на вашу помощь!
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) SugaRock, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте !!!
Выполните скрипт в AVZ:
Код:
begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\ms.exe','');
QuarantineFile('C:\WINDOWS\system32\80.exe','');
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\34.exe','');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\ScreenSaverPro.scr','');
QuarantineFile('C:\Documents and Settings\1\Application Data\Microsoft\Mxyeyq.exe','');
DeleteFile('C:\Documents and Settings\1\Application Data\Microsoft\Mxyeyq.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\34.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\58.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\Documents and Settings\1\ms.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mxyeyq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте лог полного сканирования MBAM
-
-
Junior Member
- Вес репутации
- 41
Вот логи, карантин отправил.
Сюда карантин случайно прикрепил, извиняюсь!
virusinfo_syscheck.zip
MBAM-log-2013-04-22 (17-49-47).txt
Последний раз редактировалось SugaRock; 23.04.2013 в 01:22.
-
Сообщение от
SugaRock
Вот логи, карантин отправил.
Сюда карантин случайно прикрепил, извиняюсь!
Так удалите вложение!
Удалите в MBAM всё, кроме:
Код:
C:\Program Files\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
Сделайте полный образ автозапуска uVS.
Сделайте логи RSIT.
-
-
Junior Member
- Вес репутации
- 41
-
Выполните скрипт в uVS
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
addsgn 925277AA116AC1CC0B34554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BAC1F523E021E8A2FD3EC96831749ACFE1CEC21051DB32F2D75A4BF5796B2E3 16 Worm.Win32.AutoRun.eyml [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
zoo E:\DEL.BAT
delall E:\DEL.BAT
; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
chklst
delvir
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
deltmp
restart
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в окошке с датой под главным меню установите галочку и дату 21.04.2013. Далее - "Файл" -> "Добавить в список все исполняемые файлы в каталогах не старше указанной даты...", после того, как список будет создан - Файл" -> "Сохранить полный образ автозапуска". Прикрепите файл с образом к своему следующему сообщению (если нет места для вложений - на rghost.ru и ссылку).
-
-
Junior Member
- Вес репутации
- 41
Огромнейшее Вам спасибо за помощь!
ZOO загрузил.
SUFD_2013-04-23_15-31-07.7z
-
192.168.0.1:3128 - сами прописывали ?
Выполните скрипт в uVS и пришлите карантин
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
; C:\WINDOWS\SYSTEM32\36.EXE
addsgn 925277EA056AC1CC0B74414E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Backdoor.Win32.Azbreg.ucc [Kaspersky]
zoo %Sys32%\36.EXE
; C:\WINDOWS\SYSTEM32\06.EXE
zoo %Sys32%\06.EXE
; C:\WINDOWS\SYSTEM32\40.EXE
zoo %Sys32%\40.EXE
; C:\WINDOWS\SYSTEM32\47.EXE
zoo %Sys32%\47.EXE
; C:\WINDOWS\SYSTEM32\50.EXE
zoo %Sys32%\50.EXE
; C:\WINDOWS\SYSTEM32\57.EXE
zoo %Sys32%\57.EXE
; C:\WINDOWS\SYSTEM32\84.EXE
zoo %Sys32%\84.EXE
; C:\WINDOWS\SYSTEM32\85.EXE
zoo %Sys32%\85.EXE
bl B4A6BC4097EC2300BDD3AABBF2569E8B 59904
; C:\WINDOWS\SYSTEM32\44.EXE
addsgn 925277AA026AC1CC0B34464E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Backdoor.Win32.Azbreg.ubw [Kaspersky]
zoo %Sys32%\44.EXE
bl 085F286A6F2C31943AFF11F301684B74 41984
chklst
delvir
restart
сделайте новый лог uVS
-
-
Junior Member
- Вес репутации
- 41
192.168.0.1:3128 - да, это сам.
Карантин прислал.
Java заново установил, так как необходима для работы бухгалтерской программы.
SUFD_2013-04-23_17-03-35.7z
-
Сообщение от
SugaRock
192.168.0.1:3128 - да, это сам.
Java заново установил, так как необходима для работы бухгалтерской программы.
Так установите последний билд, ссылку на загрузку я выше дал.
Загрузите систему в безопасном режиме и выполните скрипт в uVS:
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
offsgnsave
; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
addsgn 925277AA116AC1CC0B34554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BAC1F523E021E8A2FD3EC96831749ACFE1CEC21051DB32F2D75A4BF5796B2E3 16 Worm.Win32.AutoRun.eyml [Kaspersky]
; C:\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\MXYEYQ.EXE
chklst
delvir
restart
После перезагрузки сделайте новый образ автозапуска. Если нет места для вложений - на rghost.ru его и ссылку сюда.
-
-
Junior Member
- Вес репутации
- 41
Карантин отправил.
Образ:
http://rghost.ru/45493393
-
Выполните скрипт в uVS
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
restart
Сделайте лог ComboFix
-
-
Junior Member
- Вес репутации
- 41
-
-
-
Junior Member
- Вес репутации
- 41
Проблема вроде бы решена, но после перезагрузки иногда возникает на флешке файл Autorrrrinf без расширения, и папка RECYCLER. И было один раз что после перезагрузки USB Disc Security обнаружил на флешке файл OUxpjrRrBqXWwru.exe, и папки снова сделались скрытыми и появились ярлыки. Но в этот раз всё легко удалялось.
И ещё, не знаю связано ли это с этим вирусом, но бывает выскакивает ошибка SVHOST и перестаёт работать соединение в местной программе Континент-АП.
-
Удалите ComboFix
Сделайте новый полный образ автозапуска uVS из безопасного режима системы.
-
-
-
-
Junior Member
- Вес репутации
- 41
-
Сообщение от
SugaRock
Проблема вроде бы решена, но после перезагрузки иногда возникает на флешке файл Autorrrrinf без расширения, и папка RECYCLER. И было один раз что после перезагрузки USB Disc Security обнаружил на флешке файл OUxpjrRrBqXWwru.exe, и папки снова сделались скрытыми и появились ярлыки.
Флэшка в другие компьютеры вставлялась?
И Java обновите до 21-го билда.
-