Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Вирус создает файлы на флешке, отключает службы защиты. [Worm.Win32.Ngrbot.agnc ] (заявка № 164904)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36

    Thumbs up Вирус создает файлы на флешке, отключает службы защиты. [Worm.Win32.Ngrbot.agnc ]

    Здравствуйте.
    Компьютер заражен вирусом через флешку. На ней при подсоединении к компьютеру вместо находящихся на ней файлов появляются их ярлыки и exe-файл с названием из строчных и прописных латинских букв, название всегда разное. Этот файл быстро исчезает. Если открыть ярлык, открывается программа cmd с записью "Скопировано файлов: 1", а также сама папка. Еще на флешке появляется ярлык папки System_Volume_Informaton. После того, как начали появляться ярлыки на флешке, на компьютере стали отключаться службы Брэндмауэр Windows и Центр обеспечения безопасности. Пожалуйста, скажите, что можно с этим сделать.
    В инструкции по оформлению запроса о помощи сказано, что с 64-битной системой не надо выполнять п. 1. Значит ли это, что нужно только 2 файла логов?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Беслан Салихов, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\Users\q\AppData\Roaming\Identities\Vdckcf.exe','');
     QuarantineFile('C:\Users\q\AppData\Local\Temp\kusadtylds.exe','');
     QuarantineFile('C:\Users\q\AppData\Local\Temp\Adobe\Reader_sl.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4491894\b4519911.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4187714\v287941.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413341394\v2341.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v211941.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v2111941.exe','');
     QuarantineFile('C:\ProgramData\CreativeAudio\jtkyyvgiu.exe','');
     QuarantineFile('C:\PROGRA~3\mslgcnm.exe','');
     DeleteFile('C:\PROGRA~3\mslgcnm.exe','32');
     DeleteFile('C:\ProgramData\CreativeAudio\jtkyyvgiu.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v2111941.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41139114\v211941.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413341394\v2341.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4187714\v287941.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4491894\b4519911.exe','32');
     DeleteFile('C:\Users\q\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
     DeleteFile('C:\Users\q\AppData\Local\Temp\kusadtylds.exe','32');
     DeleteFile('C:\Users\q\AppData\Roaming\Identities\Vdckcf.exe','32');
    ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Буква диска, относящаяся к флэшке, какая?
    WBR,
    Vadim

  6. Это понравилось:


  7. #4
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36
    Буква Е.

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Карантин загрузите.

    Скачайте программу Universal Virus Sniffer (UVS).

    Вставьте заражённую флэшку и Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    adddir e:
    adddir C:\RECYCLER
    adddir C:\Users\q\AppData\Roaming
    crimg
    В папке с UVS будет автоматически создан образ автозапуска и упакован в архив с расширением .7Z с именем вида COMP_2014-08-14_14-40-40 (ИмяКомпьютера_Дата_Время.7Z). Прикрепите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. #6
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36
    Карантин загрузил.
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    adddir e:
    adddir C:\RECYCLER
    adddir C:\Users\q\AppData\Roaming
    
    zoo  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413114\V210141.EXE
    addsgn 1A1E249A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 16 Trojan/Win32.Caphaw.1 [AhnLab-V3]
    
    ; C:\PROGRAMDATA\MSLGCNM.EXE
    ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413114\V21041.EXE
    addsgn 1ADE229A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 8 Trojan/Win32.Caphaw.2 [AhnLab-V3]
    
    zoo  C:\USERS\Q\APPDATA\ROAMING\B3FC.EXE
    zoo  E:\CSUUNBD.EXE
    addsgn 1ABE239A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 16 Trojan/Win32.Caphaw.3 [AhnLab-V3]
    
    zoo  C:\USERS\Q\APPDATA\ROAMING\34C4.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\3F84.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\4937.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\B7AA.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\BCD6.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\C731200
    zoo  C:\USERS\Q\APPDATA\ROAMING\C830.EXE
    zoo  C:\USERS\Q\APPDATA\ROAMING\D8CA.EXE
    
    chklst
    delvir
    
    delref %SystemDrive%\USERS\Q\APPDATA\ROAMING\IDENTITIES\VDCKCF.EXE
    delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\JTKYYVGIU.EXE
    deldirex %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-413114
    deldir %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO
    
    deltmp
    czoo
    restart
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Снова выполните скрипт из сообщения #5, получившийся новый (смотрите по дате) полный образ автозапуска uVS загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  11. #8
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36
    Архив ZOO_... не появился, только папка ZOO, но она вроде пустая. Отправил ее согласно инструкции.
    http://rghost.ru/57465163

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS и пришлите карантин (если будет)

    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    BREG
    zoo %SystemDrive%\USERS\Q\APPDATA\ROAMING\C731200
    delall %SystemDrive%\USERS\Q\APPDATA\ROAMING\C731200
    zoo NNKZCPSAQW.EXE
    delall NNKZCPSAQW.EXE
    bl 5A67C20C9885E71C6E3C89FA6083AF08 133632
    zoo %SystemDrive%\PROGRAMDATA\MSLGCNM.EXE
    delall %SystemDrive%\PROGRAMDATA\MSLGCNM.EXE
    delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-418713714\V12873941.EXE
    delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41873714\V2873941.EXE
    delall %SystemDrive%\USERS\Q\APPDATA\ROAMING\IDENTITIES\VDCKCF.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delall %SystemDrive%\USERS\Q\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
    deltmp
    czoo
    restart
    сделайте новый образ автозапуска.

  13. Это понравилось:


  14. #10
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    ; C:\PROGRAMDATA\MSLGCNM.EXE
    addsgn 1A1E249A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 16 Trojan/Win32.Caphaw [AhnLab-V3]
    
    adddir e:
    adddir C:\RECYCLER
    adddir C:\Users\q\AppData\Roaming
    
    ;------------------------autoscript---------------------------
    
    sreg
    
    chklst
    delvir
    
    delref %SystemDrive%\USERS\Q\APPDATA\LOCAL\TEMP\KUSADTYLDS.EXE
    delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\NDTCRVGIU.EXE
    deltmp
    
    areg
    
    ;-------------------------------------------------------------
    После перезагрузки - новый образ автозапуска + добавьте во вложения к теме логи выполнения скриптов UVS - текстовые файлы, имя состоит из даты и времени выполнения, упакуйте их в архив и сюда.
    WBR,
    Vadim

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    + забыл вам сразу написать. Обязательно смените все пароли, после лечения смените ещё раз.

  17. #13
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36
    Скрипт нужно выполнить со вставленной флешкой?

  18. #14

  19. #15
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36
    Да, диск Е - флэшка. Стоит ли это сделать с каждой зараженной флешкой? Их две штуки.

  20. #16

  21. #17
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36
    http://rghost.ru/57468109
    Вложения Вложения

  22. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт с подлючённой флешкой (той что вставляли при создание образа) карантин пришлите

    Код:
    ;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    BREG
    bl B0305EA7B1BF2654305B299C70804392 197632
    zoo E:\CSUUNBD.EXE
    delall E:\CSUUNBD.EXE
    czoo
    restart
    Сделайте свежий лог uVS.

  23. #19
    Junior Member (OID) Репутация
    Регистрация
    14.08.2014
    Сообщений
    19
    Вес репутации
    36
    Отправил карантин
    Вложения Вложения

  24. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Лог нужен как написано в посте http://virusinfo.info/showthread.php...=1#post1148844
    пока сделайте с этой же флешкой (убедимся, что её полностью очистили), потом посмотрим вторую.

  • Уважаемый(ая) Беслан Салихов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 16.06.2014, 22:29
    2. Карантин CFEDBC1937E86BEB8B6638DC1CE70C47 [Trojan.Win32.Inject.ltlp, Worm.Win32.Ngrbot.xbk]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 12.04.2014, 08:25
    3. Ответов: 5
      Последнее сообщение: 10.11.2013, 23:14
    4. Ответов: 54
      Последнее сообщение: 10.10.2013, 13:10
    5. Ответов: 16
      Последнее сообщение: 28.09.2013, 21:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01622 seconds with 20 queries