На флешке создаются ярлыки имеющихся папок, а сами папки становятся скрытыми. Доктор вэб лечит и обезвреживает вирусы, после извлечения и повторной вставки вирусы снова появляются. Вложение 478213Вложение 478214
На флешке создаются ярлыки имеющихся папок, а сами папки становятся скрытыми. Доктор вэб лечит и обезвреживает вирусы, после извлечения и повторной вставки вирусы снова появляются. Вложение 478213Вложение 478214
Уважаемый(ая) shcherbenev, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\vip\appdata\roaming\vopackage\vosrv.exe'); QuarantineFile('C:\Users\vip\AppData\Roaming\ScreenSaverPro.scr',''); QuarantineFile('C:\Users\vip\AppData\Roaming\Microsoft\Fqtitn.exe',''); QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys',''); QuarantineFile('c:\users\vip\appdata\roaming\vopackage\vosrv.exe',''); DeleteFile('c:\users\vip\appdata\roaming\vopackage\vosrv.exe','32'); DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys','32'); DeleteFile('C:\Users\vip\AppData\Roaming\Microsoft\Fqtitn.exe','32'); DeleteFile('C:\Users\vip\AppData\Roaming\ScreenSaverPro.scr','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fqtitn'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1'); DeleteService('vosr'); DeleteFileMask('c:\users\vip\appdata\roaming\vopackage','*',true); DeleteDirectory('c:\users\vip\appdata\roaming\vopackage'); ExecuteSysClean; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
Последний раз редактировалось Vvvyg; 09.06.2014 в 13:55.
WBR,
Vadim
Выполнил, после первого скрипта и перезагрузки уже вирусы не появляются по новой)
Сделайте всё же то, что я просил.
WBR,
Vadim
а я сделал отправил как указано
Куда отправили? Надо было вложением к теме.
WBR,
Vadim
как было указано "отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме."
Карантин - в карантин, всё так. А полный образ автозапуска uVS - во вложения.
WBR,
Vadim
я туда и вложил, вместе с карантином, а теперь не могу отправить пишет "превысил предел на форуме"
Удалите старые вложения, либо загрузите образ автозапуска на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Выполните скрипт в uVS
Код:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 ; C:\WINDOWS\SYSTEM32\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}W64.SYS addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2AEB9CAF29BD801BE5C3573E559D492B80849F5AE049FA1D1EE8727D2BB02C2D77A42FC7062273 28 BrowseSmart [Sophos] del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL ;------------------------autoscript--------------------------- sreg chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\PASSSHOW-SOFT\PASSSHOWGJ171.EXE delref HTTP://WWW.TROVI.COM/?GD=&CTID=CT3324774&OCTID=EB_ORIGINAL_CTID&ISID=M038477EE-3DE8-420B-8228-3D8C701FD40D&SEARCHSOURCE=55&CUI=&UM=5&UP=SP6E74EB39-4BD6-46F1-8F02-CE081D4EDC99&SSPV= delref HTTP://I.SEARCH.METACRAWLER.COM/?F=1&A=IRONMC&CD=2XZUYETN2Y1L1QZUTDTDTC0AYE0DZZTDYCYCZZ0BYCYBZYZYTN0D0TZU0CYDYBTATN1L2XZUTBTFTBTFYETFYBTATCTN1L1CZU&CR=744639230&IR= delref HTTP://SEARCH.CERTIFIED-TOOLBAR.COM?SI=41460&HOME=TRUE&TID=3204 delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3324774&OCTID=EB_ORIGINAL_CTID&ISID=M45B97F5E-8519-4732-A7B1-6B97549EB4EF&SEARCHSOURCE=55&CUI=&UM=5&UP=SP0E3E45F5-DED5-4624-BB77-1D5E45545A2C&SSPV= delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119529&BABSRC=HP_SS&MNTRID=2820001A4D80668B delref HTTP://WWW.TROVI.COM/?GD=&CTID=CT3324774&OCTID=EB_ORIGINAL_CTID&ISID=M038477EE-3DE8-420B-8228-3D8C701FD40D&SEARCHSOURCE=55&CUI=&UM=5&UP=SP6E74EB39-4BD6-46F1-8F02-CE081D4EDC99&SSPV= delref HTTP://YAMBLER.NET delref HTTPS://ISEARCH.AVG.COM/?CID={2608E02D-37D3-435D-A564-406B6F7FECBE}&MID=250D3C5D352047D08254D1530B648F78-4D9C7E4355CECBA12C6D7A6FADC7518604EFFE59&LANG=EN&DS=TT014&PR=SA&D=2012-09-23 22:33:46&V=13.0.0.7&SAP=HP delref HTTPS://ISEARCH.AVG.COM/?CID={5BA96E56-A5AE-4A00-9F89-64F032E79DF1}&MID=250D3C5D352047D08254D1530B648F78-4D9C7E4355CECBA12C6D7A6FADC7518604EFFE59&LANG=RU&DS=MT011&PR=SA&D=2012-09-20 19:52:16&V=12.2.5.34&SAP=HP delref HTTPS://ISEARCH.AVG.COM/?CID={AA5AE4EB-A78F-4B1D-B140-E891A1238CB0}&MID=CAD62294351F47D085CCD1530B648F78-4D9C7E4355CECBA12C6D7A6FADC7518604EFFE59&LANG=RU&DS=MT011&PR=SA&D=2012-09-20 16:22:20&V=12.2.5.34&SAP=HP delref %SystemDrive%\PROGRAM FILES (X86)\PASSSHOW-SOFT\PASSSHOWH31.EXE uidel "C:\Users\vip\AppData\Roaming\VOPackage\uninstall.exe" areg ;------------------------------------------------------------- deltmp restart
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
+ - сделайте лог CheckBrowserLnk
Последний раз редактировалось regist; 10.06.2014 в 19:54.
AdwCleaner[R0].txtCheckBrowserLnk.log
а после сканирования в CheckBrow не надо очистку делать?
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладке Папки со всех пунктов, где упоминаются Mail.Ru и Yandex если используете программы от этих порталов. Если пользуетесь MediaGet - снимите также соответствующие галочки на вкладках Папки и Реестр. Хотя, я рекомендую удалить MediaGet и пользоваться другими торрент-клиентами.
Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.
Очистите кэш и cookies-файлы браузеров.
WBR,
Vadim
спасибо большое за помощь которую вы оказали
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
спасибо ещё раз
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\users\vip\appdata\roaming\microsoft\fqtitn.exe - Worm.Win32.Luder.akd ( BitDefender: Trojan.GenericKDV.963216, AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\vip\appdata\roaming\screensaverpro.scr - Worm.Win32.Luder.akd ( BitDefender: Trojan.GenericKDV.963216, AVAST4: Win32:Dropper-gen [Drp] )
Уважаемый(ая) shcherbenev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.