Вирусы [Worm.VBS.Agent.gl]

**ztirlich** · 30.11.2018, 00:15

Здравствуйте! Знаю точно, что есть вирус, который все файлы на флешках в ярлык компанует. И думаю еще может есть что-то. Прошу проверить логи. Иногда выпадает wi-fi. И если можно, реестровые записи подчистить тоже. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.11.2018, 00:16

Уважаемый(ая) ztirlich, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 30.11.2018, 06:00

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - User Startup: C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk    ->    C:\Users\Роман\AppData\Roaming\WindowsServices\helper.vbs

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Роман\AppData\Roaming\WindowsServices\helper.vbs', '');
 QuarantineFileF('C:\Users\Роман\AppData\Roaming\WindowsServices', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('C:\Users\Роман\AppData\Roaming\WindowsServices\helper.vbs', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**ztirlich** · 30.11.2018, 14:40

логи AdwCleaner

SQ · 30.11.2018, 16:48

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**ztirlich** · 30.11.2018, 17:19

вот

SQ · 30.11.2018, 17:45

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**ztirlich** · 30.11.2018, 19:04

готово

SQ · 30.11.2018, 21:12

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => No File
AppInit_DLLs-x32: C:\Windows\SysWOW64\nvinit.dll => No File
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [No File]
S3 MBAMFarflt; \SystemRoot\system32\DRIVERS\farflt.sys [X]
S3 MBAMProtection; \SystemRoot\system32\DRIVERS\mbam.sys [X]
S3 MBAMWebProtection; \SystemRoot\system32\DRIVERS\mwac.sys [X]
Folder: C:\Users\Роман\AppData\Roaming\WindowsServices
2018-11-30 14:32 - 2018-06-14 17:06 - 000000000 _RSHD C:\Users\Роман\AppData\Roaming\WindowsServices
2018-11-22 22:45 - 2017-12-12 12:17 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
2018-11-22 22:45 - 2017-12-12 12:17 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-09-11 15:17 - 2018-09-11 15:17 - 000000000 _____ () C:\Users\Роман\AppData\Local\{34028453-82DE-42DF-8A82-E9F570899278}
Reboot:
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**ztirlich** · 01.12.2018, 17:46

готово

SQ · 01.12.2018, 21:01

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
Start::
CreateRestorePoint:
CloseProcesses:
Zip: C:\Users\Роман\AppData\Roaming\WindowsServices
C:\Users\Роман\AppData\Roaming\WindowsServices
Reboot:
End::
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**ztirlich** · 02.12.2018, 15:05

Добрый день! Как мне теперь можно будет безопасно открывать уже зараженные устройства, для считывания информации?
Архив в карантин отправить не получается. Ошибка: уже загружен файл.

SQ · 02.12.2018, 20:19

Какие зараженные устройства? Что с проблемой?

**ztirlich** · 03.12.2018, 13:54

Добрый день, все хорошо вроде! Если я флешку, зараженную, вставлю себе, то как обезопаситься от заражения вновь?

SQ · 03.12.2018, 16:46

Сообщение от ztirlich

Добрый день, все хорошо вроде! Если я флешку, зараженную, вставлю себе, то как обезопаситься от заражения вновь?

Перед тем как вставлять флэшку нажмите клавишу shift и держите пока не вставите флэшку либо отключите глобально автозагрузку флэшек. Далее проверьте флэшку на вирусы.

**CyberHelper** · 03.12.2018, 16:56

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\users\=F0=EE=EC=E0=ED\appdata\roaming\windowsse rvices\hel=
  per.vbs - Worm.VBS.Agent.gl

Вирусы [Worm.VBS.Agent.gl] (заявка № 221014)

Опции темы