Показано с 1 по 17 из 17.

Вирус создает ярлык на флешке [Trojan-Dropper.Win32.Injector.jfdz ] (заявка № 197438)

  1. #1
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24

    Вирус создает ярлык на флешке [Trojan-Dropper.Win32.Injector.jfdz ]

    Здравствуйте. На компьютере имеется вирус, который при подключении флешки создает один ярлык всего содержимого.
    И при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки.
    Помогите решить сию проблему. Логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) kirillezhov, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24
    up.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cczmvcne.scr', '');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cczmvcne.scr', '32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '39133');
    BC_ImportDeletedList;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24
    Скрипты выполнил, карантин отправил, файл прикладываю
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    готово
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    OFFSGNSAVE
    ; C:\DOCUMENTS AND SETTINGS\ALL USERS\LOCAL SETTINGS\TEMP\CCXYYAZM.SCR
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\LOCAL SETTINGS\TEMP\CCXYYAZM.SCR
    addsgn A7679BF0AA02F4024BD4C6C95B881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0BF0C49F75C4C32EF4CAB8C015DA3BE4AC965B2FC706AB7E 9 BackDoor.Andromeda.178 [DrWeb]
    
    ; C:\DOCUMENTS AND SETTINGS\СТРОЕВАЯ\LOCAL SETTINGS\TEMP\JGFCBYXTSPOLIHEDAZVURQNMJIFEBAXI.COM
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СТРОЕВАЯ\LOCAL SETTINGS\TEMP\JGFCBYXTSPOLIHEDAZVURQNMJIFEBAXI.COM
    ; C:\ATI\CATALYST.EXE
    zoo %SystemDrive%\ATI\CATALYST.EXE
    bl CA8DAB8E7381AC836E2728996CA4B4E9 154763
    chklst
    delvir
    deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\LOCAL SETTINGS\TEMP
    zoo D:\AUTORUN.INF
    delall D:\AUTORUN.INF
    deltmp
    czoo
    restart
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Выполните скрипт в UVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    adddir D:
    adddir C:\ATI
    crimg
    Будет сформирован новый полный образ автозапуска uVS, прикрепите его к своему следующему сообщению.
    Последний раз редактировалось Vvvyg; 24.02.2016 в 23:10.
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24
    карантин отправил, логи прикрепляю
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    information

    Уведомление

    Отключите до перезагрузки антивирус


    Выполните скрипт в UVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    OFFSGNSAVE
    addsgn A7679BF0AA02F4024BD4C6C95B881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0BF0C49F75C4C32EF4CAB8C015DA3BE4AC965B2FC706AB7E 9 BackDoor.Andromeda.178 [DrWeb]
    
    sreg
    
    chklst
    delvir
    
    zoo D:\~%XRY.INI
    czoo
    areg
    После перезагрузки аналогично загрузите ZOO_ в карантин, прикрепите свежий лог выполнения скрипта и сделайте новый полный образ автозапуска uVS, если не влезет во вложения - загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24
    после выполнения данного скрипта новый файл карантина ZOO_ не создался
    все остальные логи прикладываю
    https://yadi.sk/d/XCphmjElpTej3
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Загрузите систему в безопасном режиме и выполните скрипт в UVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    OFFSGNSAVE
    addsgn A7679BF0AA02F4024BD4C6C95B881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0BF0C49F75C4C32EF4CAB8C015DA3BE4AC965B2FC706AB7E 9 BackDoor.Andromeda.178 [DrWeb]
    chklst
    delvir
    deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\LOCAL SETTINGS\TEMP
    zoo D:\AUTORUN.INF
    delall D:\AUTORUN.INF
    zoo D:\~%IPFPEXDNGVVVW.INI
    dirzooex d:\
    regt 5
    czoo
    restart
    После перезагрузки - ZOO_ в карантин, лог выполнения в тему, новый образ автозапуска - на Я.Д.
    WBR,
    Vadim

  14. #13
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24
    файл карантина загрузил, логи прикладываю

    https://yadi.sk/i/-LYldfHhpU3vF
    https://yadi.sk/d/ybSeRT7bpU4DT

    после выполнения скрипта вирус с флешки пропал. Но вопрос в следующем: у меня таких компьютеров несколько, подскажите где копать в поисках этого вируса на других компьютерах? Или поступить также и скидывать вам логи?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Это достаточно древний троян, судя по детекту многих антивирусов как Worm (червь), видимо, способен распространяться не только через внешние носители, но и по сети. Антивирусы его знают практически все, вот результаты по вашему карантину:

    https://www.virustotal.com/ru/file/1...is/1456398229/
    https://www.virustotal.com/ru/file/c...is/1456398328/
    https://www.virustotal.com/ru/file/c...is/1456398382/

    В каком состоянии антивирус Касперского, и почему его проспал - вопрос к Вам, скорее.
    Довольно живучий зловред, но в безопасном режиме наверняка справятся с ним и Dr. Web CureIt!, и Kaspersky Virus Remove Tool, их можно бесплатно скачать с понятно каких сайтов.

    Желательно отключить на время лечения все компьютеры от сети и пролечивать также внешние носители, имевшие с ними контакт. Обязательно отключите автозапуск с HDD, сетевых дисков и со сменных носителей, это можно сделать, например, через "Мастер поиска и устранения проблем" в AVZ. На этом компьютере автозапуск уже отключен.

    Если хотите лечиться и дальше здесь - на каждый компьютер - отдельная тема.
    Напоминаю также, что Вам всегда рады в разделе Помогите+
    WBR,
    Vadim

  16. #15
    Junior Member Репутация
    Регистрация
    24.06.2011
    Сообщений
    9
    Вес репутации
    24
    Спасибо большое. Долго я рылся в гугле и искал как справиться с ним, но ответ нашел здесь. С другими компьютерами поступил по аналогии, запустив последний скрипт и изменив там путь. Помогло. Спасибо за помощь!

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Хорошо, что так, скрипт почти универсальный для этого конкретного трояна, из-за применения сигнатуры, имя файла всё время меняется. Только имейте ввиду, что под сигнатуру могли попасть и легитимные, в т. ч. системные файлы, и результат мог быть плачевным, вплоть до краха системы Скрипт проверялся для конкретной системе, где образ автозапуска делался.

    Выполните рекомендации после лечения.

    И с антивирусом разберитесь - обязан он был пресечь внедрение этого зловреда - если активен и с обновлёнными базами.
    WBR,
    Vadim

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. \catalyst.exe._6d93372ea11380a46a43812982df98474b5 6a62e - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.59002 )
      2. \ccxyyazm.scr._2a4b601dfd30c4450698e0665b9f786936f d3eb9 - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.59002 )
      3. c:\docume~1\alluse~1\locals~1\temp\cczmvcne.scr - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.59002 )
      4. \jgfcbyxtspolihedazvurqnmjifebaxi.com._2a4b601dfd3 0c4450698e0665b9f786936fd3eb9 - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.59002 )
      5. \~rnppxewklinhqea.ini._eb52aa5c3f28f78b2b004870fa8 18e8ae983689f - Trojan-Dropper.Win32.Injector.jfdz ( BitDefender: Trojan.Agent.BACD )


  • Уважаемый(ая) kirillezhov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус создает ярлык флешки на флешке
      От Artemchika в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.07.2013, 16:42
    2. Вирус создаёт ярлык флешки на флешке
      От saturn43 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.07.2013, 15:36
    3. Вирус создает ярлык программы MS DOS в папках
      От Иван000000 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.07.2013, 09:35
    4. Ответов: 6
      Последнее сообщение: 04.07.2013, 09:28
    5. Вирус сделал ярлык на флешке
      От AppleJuice в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.04.2013, 22:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00244 seconds with 17 queries