Вместо файлов на флешках создаются ярлыки с их названием [HEUR:Trojan.Win32.Khalesi.gen]
Доброго времени суток!
На компьютере без выхода в Интернет уже пару дней при переносе файлов на флешку наблюдается создание ярлыков с названием этих файлов (сами же файлы при этом отсутствуют). При просмотре автозагрузки обнаружился неудаляемый файл 333eb116.exe расположенный в C:\Documents and Settings\All Users\Application Data\{9e816189-65c5-905e-15b6-9abc808639b4}\. Прошу помочь в решении проблемы.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) solarr, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\documents and settings\all users\application data\{9E816189-65C5-905E-15B6-9ABC808639B4}\333eb116.exe','');
QuarantineFile('C:\WINDOWS\system32\rmqksida.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ctqhpeilq\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\rmqksida.dll','32');
DeleteFile('C:\WINDOWS\Tasks\{029149B9-4DF5-0C4E-15B6-9ABC808639B4}.job','32');
DeleteFile('c:\documents and settings\all users\application data\{9E816189-65C5-905E-15B6-9ABC808639B4}\333eb116.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Система явно не видела обновлений, если в ней столько следов сетевого старичка Kido.
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {146c2bf7-20b1-11e6-b196-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {1d97f582-f1b6-11e6-b266-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {25571eec-5e80-11e0-abca-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {3c172063-f7fe-11e6-b26d-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {64fbab25-a503-11e8-b3f4-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {81eb21a8-d724-11e6-b24a-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {c1e73465-4a64-11e6-b1b4-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\Run: [{029149B9-4DF5-0C4E-15B6-9ABC808639B4}] => c:\documents and settings\all users\application data\{9e816189-65c5-905e-15b6-9abc808639b4}\333eb116.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
S2 azght; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ctqhpeilq; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 divqhbiy; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 dzycyku; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 gfjqmlc; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 hacvx; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 knoezz; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 osnubdz; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 pqfzi; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 rdstafqqx; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 snlvsdg; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 whtjvurij; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 xljnk; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 ymlkqcrvu; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 zvwdjqwx; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
NETSVC: snlvsdg -> no filepath.
NETSVC: whtjvurij -> no filepath.
NETSVC: hacvx -> no filepath.
NETSVC: zvwdjqwx -> no filepath.
NETSVC: ymlkqcrvu -> no filepath.
NETSVC: pqfzi -> no filepath.
NETSVC: gfjqmlc -> no filepath.
NETSVC: rdstafqqx -> no filepath.
NETSVC: xljnk -> no filepath.
NETSVC: dzycyku -> no filepath.
NETSVC: divqhbiy -> no filepath.
NETSVC: osnubdz -> no filepath.
NETSVC: knoezz -> no filepath.
NETSVC: ibouumbp -> no filepath.
NETSVC: ctqhpeilq -> no filepath.
NETSVC: azght -> no filepath.
NETSVC: wqdoxyj -> C:\WINDOWS\system32\vvstsrtv.dll ()
C:\WINDOWS\system32\vvstsrtv.dll
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: