Вирус - создаёт в корне любой подключенной флешки porn.exe [UDS:DangerousObject.Multi.Generic]
Началось несколько дней назад. В корне каждой подключенной флешки создает porn.exe, присвивает всем папкам аттрибут "скрытая" и создаёт на них ярлыки.
В автозагрузках есть файл C692E8.exe - при попытке его удаления из ветки Run реестра и из папки при перезагрузке восстанавливается.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) dima_io, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Лог прикрепил в первом сообщении
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\dima\appdata\roaming\7f064c\c692e8.exe'); QuarantineFileF('c:\users\dima\appdata\roaming\7f064c', '*.exe', false, '', 0 , 0); QuarantineFile('c:\users\dima\appdata\roaming\7f064c\c692e8.exe', ''); QuarantineFile('C:\Users\Dima\AppData\Roaming\iVWxXh6.exe', ''); QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\ProgramData\Yellow AdBlocker\Yellow AdBlocker.exe', ''); QuarantineFile('C:\ProgramData\Mini - Adblocker\Mini - Adblocker.exe', ''); QuarantineFile('C:\ProgramData\Supreme AdBlocker\Supreme AdBlocker.exe', ''); QuarantineFile('C:\ProgramData\Extreme Blocker\Extreme Blocker.exe', ''); DeleteFile('c:\users\dima\appdata\roaming\7f064c\c692e8.exe', '32'); DeleteFile('C:\Users\Dima\AppData\Local\Temp\65A4728.sys', '32'); DeleteFile('C:\Users\Dima\AppData\Local\Temp\7C281BC.sys', '32'); DeleteFile('C:\Users\Dima\AppData\Local\Temp\55B0CC1.sys', '32'); DeleteFile('C:\Users\Dima\AppData\Local\Temp\967EF29.sys', '32'); DeleteFile('C:\Users\Dima\AppData\Roaming\iVWxXh6.exe', '32'); DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\ProgramData\Yellow AdBlocker\Yellow AdBlocker.exe', '32'); DeleteFile('C:\ProgramData\Mini - Adblocker\Mini - Adblocker.exe', '32'); DeleteFile('C:\ProgramData\Supreme AdBlocker\Supreme AdBlocker.exe', '32'); DeleteFile('C:\ProgramData\Extreme Blocker\Extreme Blocker.exe', '32'); DeleteFile('C:\Users\Dima\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk'); DeleteService('4F95399518B46EF9'); DeleteService('4F95F4CF1D78C3F9'); DeleteService('4F95F4CF6F833099'); DeleteService('4F95F4CFC135A279'); DeleteFileMask('c:\users\dima\appdata\roaming\7f064c', '*', true); DeleteFileMask('c:\programdata\timetasks', '*', true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\programdata\yellow adblocker', '*', true); DeleteFileMask('c:\programdata\mini - adblocker', '*', true); DeleteFileMask('c:\programdata\supreme adblocker', '*', true); DeleteFileMask('c:\programdata\extreme blocker', '*', true); DeleteDirectory('c:\users\dima\appdata\roaming\7f064c'); DeleteDirectory('c:\programdata\timetasks'); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\programdata\yellow adblocker'); DeleteDirectory('c:\programdata\mini - adblocker'); DeleteDirectory('c:\programdata\supreme adblocker'); DeleteDirectory('c:\programdata\extreme blocker'); ExecuteFile('schtasks.exe', '/delete /TN "{3D593A11-0595-402B-8269-D95D56535385}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{50896A8A-AF8A-4285-B838-5B9C1FD15684}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{6BF69235-2B0A-4399-85D6-82CFC684D9BE}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{89E8E136-3238-4013-9A0E-E36D76856098}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{E5E07D91-4F13-492E-9BDD-C3664B663AC0}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{EEEF4D0D-0034-4931-88AA-239D8FA05CFF}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ASP" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7F064C'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaVerifyer', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\Dima\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk" -> ["C:\Users\Dima\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaProducts Offline Explorer Pro\Offline Explorer Pro.lnk" -> ["D:\Program Files (x86)\Offline Explorer Pro\OE.exe"] >>> "C:\Users\Dima\Favorites\Links\Интернет.url" -> hxxp://dcubege.ru/?utm_source=favorites03&utm_content=0540cd3f39398aa7b086fcb67de19a76&utm_term=131CD18304FBA14FF25C75E2817CCE41&utm_d=20160210
Сделайте новый лог Autologger.
WBR,
Vadim
Готово
Запустите HijackThis, расположенный в папке Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Сделайте лог Malwarebytes AdwCleanerКод:O4 - MSConfig\startupreg: [MediaVerifyer] (no file) (HKCU) (2017/03/28) O4 - MSConfig\startupreg: [ZaxarLoader] (no file) (HKLM) (2015/02/21)
WBR,
Vadim
AdwCleaner[S1].txt
Готово.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Сделайте новый лог такой версией Autologger.
И постарайтесь не пропадать снова на 3 недели - за это время в системе может очень многое поменяться, такими темпами до лета закончить лечение не успеем...
WBR,
Vadim
Прошу прощения) Уезжал - компьютером в этот период никто не пользовался)
AdwCleaner[C0].txt
- - - - -Добавлено - - - - -
CollectionLog-2017.04.23-16.12.zip
Лог
Проблема решена?
WBR,
Vadim
Да! Большое спасибо!Сообщение от Vvvyg
Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\dima\appdata\roaming\7f064c\c692e8.exe - UDS:DangerousObject.Multi.Generic
Уважаемый(ая) dima_io, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
