Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Вирус делает ярлыки на флешке. [Worm.Win32.Ngrbot.agzn, Trojan.Win32.Yakes.ftgf, Trojan.Win32.Agent.idcu ] (заявка № 165647)

  1. #1
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56

    Thumbs up Вирус делает ярлыки на флешке. [Worm.Win32.Ngrbot.agzn, Trojan.Win32.Yakes.ftgf, Trojan.Win32.Agent.idcu ]

    Болеет 3 компьютера, сейчас лечу ноутбук на win xp, dr web cure it в безопасном режиме лечился, результатов нет.
    Необходимые файлы прикладываю.

    PS: как удалить старые вложения?
    Последний раз редактировалось regist; 03.09.2014 в 12:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Valter, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
    Пожалуйста, обновите базы и сделайте новые логи.


    2)

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    ExecuteAVUpdate;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     TerminateProcessByName('c:\docume~1\admin\locals~1\temp\4aojw.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe','');
     QuarantineFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe','');
     QuarantineFile('c:\docume~1\admin\locals~1\temp\4aojw.exe','');
     DeleteFile('c:\docume~1\admin\locals~1\temp\4aojw.exe','32');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe','32');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe','32');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','32');
     DeleteFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','414057012');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Waaoak');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry12134');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79a878op14');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79878op14');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79bop14');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry1114');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77901435');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteWizard('SCU',2,3,true);
     ExecuteWizard('SCU',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  5. #4
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    1. Базы обновил, вчера этого сделать не получалось

    2. Сделал все точно по инструкции.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77353435');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

  7. #6
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    Из mbam не могу сделать экспорт вообще, copy to clipboard не работает, при попытке сохранить в txt mbam закрывается, не сохраняя файл.

    По пути %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs ничего нет.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Valter Посмотреть сообщение
    Из mbam не могу сделать экспорт вообще, copy to clipboard не работает, при попытке сохранить в txt mbam закрывается, не сохраняя файл.

    По пути %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs ничего нет.
    а во время обновления баз от обновления программы вы отказались? У меня такое чувство, что вы обновились до второй версии. А там как раз подобные баги .

    - - - - -Добавлено - - - - -

    + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

  9. #8

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    done

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Поместите в карантин МВАМ всё кроме

    Код:
    Объекты реестра обнаружены:  4
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    
    C:\Documents and Settings\Admin\Мои документы\Dropbox\Public\WinRAR 4.20 Final.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
    сделайте новый лог сканирования MBAM.

  13. #12
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    сделал

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки.
    3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.82 script [http://dsrt.dyndns.org]
      
      adddir %SystemDrive%\Documents and Settings\Admin\Application Data\
      crimg
    6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
    8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    9. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  15. #14
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    Образа автозапуска в папке нет, а вот архив имеется, только вот он не загружается на форум, кончилось место, удалить старые вложения не знаю как, об этом еще в первом посте написал

  16. #15

  17. #16
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    поместился

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    OFFSGNSAVE
    breg
    
    addsgn 1A0A339A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 8 BackDoor.IRC.NgrBot.146 [DrWeb]
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE
    bl 3E4C7BEE707A69FA0665E76B61B3A94D 412672
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE
    addsgn 1A29599A5583528CF42B627DA80491E92957E8D261072E78852BC8BC50D6F2882FD44E031A5175E11A8084CDDDCF75DEF69BCC7E218BD6AD1153DB2DB303CA13 8 trojan
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE
    bl DC2CEDA7680C98F27D8AB9CFC952BFA7 358912
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE
    addsgn 1AB6349A5583528CF42B254E3143FE84C95AFEF6895B974EC1C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 64 Trojan.Siggen.65341 [DrWeb]
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200
    bl 5E11F39501BC972D8C253B78147A8598 378368
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200
    deltmp
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
    chklst
    delvir
    
    restart
    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.

    Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    Карантин прислал, лог сделал.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    BREG
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
    czoo
    restart
    сделайте новый лог полного сканирования MBAM

  21. #20
    Junior Member Репутация
    Регистрация
    11.12.2008
    Сообщений
    32
    Вес репутации
    56
    Карантин прислал, лог mbam прикладываю.

  • Уважаемый(ая) Valter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Карантин 07991DBDD93EDB553B567A90ADA20BE9 [Worm.Win32.Ngrbot.ahdp, Trojan.Win32.Yakes.fvic, Worm.Win32.Ngrbot.ahcv ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 03.09.2014, 12:33
    2. Ответов: 11
      Последнее сообщение: 28.07.2014, 11:38
    3. Ответов: 5
      Последнее сообщение: 17.11.2013, 20:11
    4. Ответов: 54
      Последнее сообщение: 10.10.2013, 13:10
    5. Ответов: 5
      Последнее сообщение: 20.09.2013, 13:31

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01057 seconds with 16 queries