Компьютер заражет Flash-носители, достаточно только вставить в usb [Worm.Win32.Ngrbot.wed ]

**FlexFiD** · 22.11.2013, 02:00

Вставил в компьютер флешку, а там одни ярлыки(файлы оказались скрытыми).
я думал решил проблему- форматнул флешку.
вытащил ее и вставил заново, появляется файл с расширение .exe , потом если туда закидывать файлы, то они автоматически переходят в скрытые и появляются ярлыки....
не могу решить эту проблему, и постоянно в диспетчере задач появляются странные файлы типа "soma63.exe" "24.exe". или "213.exe с описанием "213.exe.gonewiththewings " ( типа ушел с крыльями в систему)
Прошу помочь решить мою проблему, дабы не заражать всем флешки.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.11.2013, 02:01

Уважаемый(ая) FlexFiD, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Aleksandra** · 22.11.2013, 05:05

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
 QuarantineFile('C:\Users\Adam\AppData\Roaming\Identities\Dcumup.exe','');
 QuarantineFile('C:\Users\Adam\AppData\Local\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1201519\sean061.exe','');
 QuarantineFile('C:\Windows\system32\drivers\NPF.sys','');
 QuarantineFile('c:\users\adam\appdata\roaming\e4d2.exe','');
 TerminateProcessByName('c:\users\adam\appdata\roaming\e4d2.exe');
 DeleteFile('c:\users\adam\appdata\roaming\e4d2.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1201519\sean061.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sean061');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12h330');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d3d30');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','n31335121');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','na0ss0121');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0123');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0124');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0125');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0126');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0127');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh1');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh');
 DeleteFile('C:\Users\Adam\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 DeleteFile('C:\Users\Adam\AppData\Roaming\Identities\Dcumup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dcumup');
 DeleteFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','32');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=150087

4. Сделайте повторные логи.

**FlexFiD** · 22.11.2013, 15:54

Cделал всё по инструкции. Все вроде бы впорядке. ( вставляю любую флешку и все в порядке)Спасибо! А повторные логи, это что именно сделать мне нужнО?
я так подумал повторно сделать тоже что и в самом начале, прикрепляю тоже самое

**Aleksandra** · 23.11.2013, 16:44

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Adam\AppData\Roaming\Identities\jvaot\jvaot.exe','');
 QuarantineFile('C:\Users\Adam\AppData\Roaming\Identities\Dcumup.exe','');
 DeleteFile('C:\Users\Adam\AppData\Roaming\Identities\Dcumup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dcumup');
 DeleteFile('C:\Users\Adam\AppData\Roaming\Identities\jvaot\jvaot.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=150087

4. Сделайте повторные логи.

**FlexFiD** · 23.11.2013, 19:26

Скидываю повторно. Нужно ли включать восстановление системы? а то я отключил и автоматически не включается

**Aleksandra** · 23.11.2013, 19:37

Да, можете включить. В логах плохого не увидела.

**FlexFiD** · 23.11.2013, 23:53

Сообщение от Aleksandra

Да, можете включить. В логах плохого не увидела.

Cпасибо огромное за помощь!!!!

**CyberHelper** · 24.11.2013, 00:03

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\\users\\adam\\appdata\\local\\temp\\adobe\\read er_sl.exe - Worm.Win32.Ngrbot.wed
2. c:\\users\\adam\\appdata\\roaming\\identities\\dcu mup.exe - Worm.Win32.Ngrbot.wed

Компьютер заражет Flash-носители, достаточно только вставить в usb [Worm.Win32.Ngrbot.wed ] (заявка № 150087)

Опции темы

Компьютер заражет Flash-носители, достаточно только вставить в usb [Worm.Win32.Ngrbot.wed ]

Это понравилось:

Это понравилось:

Итог лечения

Похожие темы

Карантин 1FDFFC16279945428D3B776236ABB4BF [not-a-virus:HEUR:AdWare.Win32.Amonetize.heur, Worm.Win32.Ngrbot.vto ]

Тормозит нетбук. Файлы на флешках превратились в ярылки .lnk [Worm.Win32.Ngrbot.vwr, Worm.Win32.Ngrbot.vwh, Backdoor.Win32.Azbreg.xhh ]

Вирус делает скрытыми папки на съемных носителях [Worm.Win32.Ngrbot.ubg, Backdoor.Win32.Azbreg.wro, HEUR:Trojan.Win32.Generic ]

Карантин 55FCAE79FB11E2D60A9A225E5FF7D0E4 [Worm.Win32.Ngrbot.hkl ]

ошибка ecleaner.exe с вирусом Worm.Win32.Ngrbot.kpb

Метки для этой темы

Ваши права в разделе