Показано с 1 по 20 из 20.

Скрытые папки. [Trojan.VBS.Agent.yx] (заявка № 199687)

  1. #1
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22

    Thumbs up Скрытые папки. [Trojan.VBS.Agent.yx]

    Папки скрытые стали на всех дисках(в корне диска) и D.WEB ругается постоянно...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    341
    Уважаемый(ая) invazion, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    RemoteAdmin - ваше?

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    - сделайте лог Check Browsers' LNK by Dragokas & regist.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    RemoteAdmin - не моё!
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    Цитата Сообщение от regist Посмотреть сообщение
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
    где?!

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    remoteadmin все таки моя прога.

    http://virusinfo.info/virusdetector/...0CFECA9F9CCA38

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\МВА\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk', '');
     QuarantineFile('C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Opera.lnk', '');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код:
    C:\Documents and Settings\МВА\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Opera.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\История изменений.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Программа Spu_orb.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Руководство пользователя.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Spu_orb\Удалить Spu_orb.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Total Commander\SamLab.ws - New Soft.lnk
    C:\Program Files\Total Commander\Sam Lab.url
    C:\Documents and Settings\МВА\Главное меню\Программы\Пульс-плюс\BSmeta НП\Internet-Обновление Бухучет НП.lnk
    C:\Documents and Settings\МВА\Главное меню\Программы\Пульс-плюс\BSmeta НП\Бухучет НП.lnk
    C:\Documents and Settings\МВА\Мои документы\Василина\Ярлык для Шаблон на субсидии по ээнергии.lnk
    C:\Documents and Settings\МВА\Рабочий стол\Ярлык для AA_v3.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Dr.Web Scanner.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Бюджетная отчетность (2).lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Бюджетная отчетность.lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Мониторинг налоговых доходов (65-н-упр).lnk
    C:\Documents and Settings\МВА\Рабочий стол\ЯРЛЫКИ С РАБОЧЕГО СТОЛА\Программа Spu_orb.lnk
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    готово
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.


    что с проблемой?

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    dweb ругается на файлы(в корне С с расширением vbs названия этих файлов в основном совпадают с названием папок в том же корне. Пока не понял в какой момент они появляются.

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    Цитата Сообщение от invazion Посмотреть сообщение
    в корне С с расширением vbs
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.


    - Сделайте лог полного сканирования MBAM.

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    всё сделал.
    Вложения Вложения

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    Поместите в карантин MBAM только

    Код:
    Trojan.Agent, HKU\S-1-5-21-1757981266-1897051121-839522115-1003\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|SysDebug32,  t“ПJ  "ЋВФЫc M«uЮЊ']KU© xпхх#њ,6РpEFї#Тгўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:ЉWН¤ Kж+Ј Б* ЈуRa§ОД Х˜–гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:љу/wJ™Ыg4©Ђ1ќч± гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:гўп—я ‘:Бgк€;s  , , [17fbbcf5059453e32c3c9fca60a30af6]
    что с проблемой?

    - - - - -Добавлено - - - - -

    +
    - выполните такой скрипт в AVZ
    Код:
    begin
     ClearQuarantineEx(true); 
      QuarantineFile('C:\Windows\ShellNew\S-5-1-56-2583390153-6505959084-958661815-1351\fjmdoq.sfw', '');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    В карантин поместил...

    drweb.jpg
    Dr Web удаляет эти файлы, но через некоторое время они снова появляются.

  22. #15

  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    Да выполнил. Но он пустой.
    Походу нашел вирус "HPLaserJetService.exe"
    При перезапуске запускается. Висит в диспетчере. Файлы начинают появляться.
    После выгрузки его в диспетчере перестают появляться. Но я не нашел где прописан его запуск.

    Запустил его вручную, вылезла ошибка hp.jpg

    - - - - -Добавлено - - - - -

    Удалил этот файл. После перезагрузки работа вируса не проявляется. Копию файла сохранил на всякий случай.
    Кстати через просмотр в тотал коммандере говорит что это архив arj sfx.
    Последний раз редактировалось invazion; 21.04.2016 в 09:45.

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    Цитата Сообщение от invazion Посмотреть сообщение
    Копию файла сохранил на всякий случай.
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    + поищите у себя поиском файл fjmdoq.sfw если найдёте, то также пришлите в карантин.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от invazion Посмотреть сообщение
    Походу нашел вирус "HPLaserJetService.exe"
    Путь к файлу если не сложно напишите, случайно это не он?

    Код:
    c:\program files\hewlett-packard\hplaserjetservice\hplaserjetservice.exe
    на вирус не очень похоже, по вирустотал файл известен с 2010 года.

  26. #18
    Junior Member Репутация
    Регистрация
    14.02.2012
    Сообщений
    37
    Вес репутации
    22
    fjmdoq.sfw нет ни на одном диске
    карантин прикрепил

    - - - - -Добавлено - - - - -

    да путь такой

    - - - - -Добавлено - - - - -

    после его удаления файлы не появляются

    - - - - -Добавлено - - - - -

    а если его поместить обратно и перезагрузить - для опыта)

  27. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    1) Верните этот файл на место.

    2) Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например http://rghost.ru

    Перед тем как делать лог Process Monitor по возможности выгрузите все лишние программы (чтобы лог был меньше).

  28. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\мва\application data\microsoft\internet explorer\quick launch\opera.lnk - HEUR:Trojan.WinLNK.StartPage.gena
      2. c:\documents and settings\мва\рабочий стол\ярлыки с рабочего стола\opera.lnk - HEUR:Trojan.WinLNK.StartPage.gena
      3. \documents and settings.vbs - Trojan.VBS.Agent.yx


  • Уважаемый(ая) invazion, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 05.07.2015, 15:46
    2. Ответов: 5
      Последнее сообщение: 23.11.2009, 00:04
    3. Ответов: 11
      Последнее сообщение: 08.07.2009, 10:23
    4. Ответов: 9
      Последнее сообщение: 19.03.2008, 20:58
    5. Скрытые папки и файлы (Trojan.Nsanti.Packed)
      От Chek в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.01.2008, 14:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00711 seconds with 17 queries