Показано с 1 по 10 из 10.

Trojan:VBS/Movanide.A [Worm.VBS.Agent.gn, Worm.VBS.Agent.gl, Worm.VBS.Agent.gm] (заявка № 220163)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2018
    Сообщений
    5
    Вес репутации
    4

    Thumbs up Trojan:VBS/Movanide.A [Worm.VBS.Agent.gn, Worm.VBS.Agent.gl, Worm.VBS.Agent.gm]

    Подхватил троян на флешку. 1 ПК заражён, другой чист, флешку я уже очистил тоже. Задача скинуть файлы для работы с заражённого ПК на чистый, не подхватив заразу на флешку(если я правильно понял, флешка будет заражена при подключении к заражённому ПК).
    На заражённом ПК есть AVZ и пока что отсутствует подключение к интернету.

    Первое фото это реакция чистого ПК на заразную флешку, второй это сам троян на заражённом ПК. Флешку очистил полным форматированием c помощью diskpart.


    upd логи
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось Jammmer; 05.09.2018 в 20:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,315
    Вес репутации
    353
    Уважаемый(ая) Jammmer, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,230
    Вес репутации
    920
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Пользователь\AppData\Roaming\WindowsServices\helper.vbs', '');
     QuarantineFileF('c:\users\пользователь\appdata\roaming\windowsservices', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
     DeleteFile('C:\Users\Пользователь\AppData\Roaming\WindowsServices\helper.vbs', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "{4705B46D-2AD0-4F8A-90DB-F638A47D5381}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{9387CF3E-D718-4A83-A89C-61C96C14C290}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{B23CCF38-8CEC-46BD-A8E9-8EA3C9453665}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{B348ECE9-136E-4B9C-84CB-63AB6DDAE4D7}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{E8267DB3-D3F0-4711-B029-365A95943C19}" /F', 0, 15000, true);
     DeleteFileMask('c:\users\пользователь\appdata\roaming\windowsservices', '*', true);
     DeleteDirectory('c:\users\пользователь\appdata\roaming\windowsservices');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteRepair(4);
     ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    05.09.2018
    Сообщений
    5
    Вес репутации
    4
    upd
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,230
    Вес репутации
    920
    Запустите HijackThis, расположенный в папке Autologger и пофикситеWindows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} [URL] = http://webalta.ru/search?q={searchTerms}&from=IE - webalta Search
    O4 - MSConfig\startupreg: Adobe Creative Cloud [command] = C:\Program Files\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe --showwindow=false --onOSstartup=true (file missing) (HKLM) (2015/07/11)
    O4 - MSConfig\startupreg: AdobeAAMUpdater-1.0 [command] = C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe  (file missing) (HKLM) (2015/07/11)
    O4 - MSConfig\startupreg: Bonus.SSR.FR10 [command] = C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe /autorun (file missing) (HKLM) (2012/12/12)
    O4 - MSConfig\startupreg: KSS [command] = C:\Program Files\Kaspersky Lab\Kaspersky Security Scan\kss.exe autorun (file missing) (HKCU) (2015/02/01)
    O4 - MSConfig\startupreg: Praetorian [command] = C:\Users\Пользователь\AppData\Local\Yandex\Updater\praetorian.exe  (file missing) (HKCU) (2013/01/12)
    O4 - MSConfig\startupreg: hola [command] = C:\Program Files\Hola\app\hola.exe --silent (file missing) (HKLM) (2015/01/09)
    O4 - MSConfig\startupreg: wmagent.exe [command] = C:\Program Files\WebMoney Agent\wmagent.exe  (file missing) (HKLM) (2013/01/12)
    O22 - Task: MSIAfterburner - D:\MSI afterburner\MSIAfterburner.exe /s (file missing)
    O22 - Task: Opera scheduled Autoupdate 1437601750 - C:\Opera1\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
    O22 - Task: {F933BFCF-24FD-4520-B068-917B523D0D6A} - C:\Users\Пользователь\AppData\Roaming\.minecraft\Пиратский лаунчер\x32\Minecraft.exe (file missing)
    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    05.09.2018
    Сообщений
    5
    Вес репутации
    4
    upd
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,230
    Вес репутации
    920
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

    Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
    Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.

    Компьютер от трояна зачищен.
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    05.09.2018
    Сообщений
    5
    Вес репутации
    4
    Спасибо!
    Вложения Вложения

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,230
    Вес репутации
    920
    Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

  12. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    959

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\пользователь\appdata\roaming\windowsservi ces\helper.vbs - Worm.VBS.Agent.gl
      2. c:\users\пользователь\appdata\roaming\windowsservi ces\installer.vbs - Worm.VBS.Agent.gm ( AVAST4: VBS:Agent-BQX [Trj] )
      3. c:\users\пользователь\appdata\roaming\windowsservi ces\movemenoreg.vbs - Worm.VBS.Agent.gn ( AVAST4: VBS:Agent-BQV [Trj] )

  • Уважаемый(ая) Jammmer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин 7E1890392637DE2A2D9969224D1CA48F [Worm.Win32.AutoRun.briz, Worm.Win32.Agent.adr ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 14.06.2017, 09:06
    2. Ответов: 12
      Последнее сообщение: 05.07.2015, 15:46
    3. Ответов: 18
      Последнее сообщение: 09.08.2014, 15:57
    4. Ответов: 5
      Последнее сообщение: 22.02.2009, 09:50
    5. Ответов: 6
      Последнее сообщение: 22.02.2009, 09:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00705 seconds with 17 queries