Вирус - создаёт в корне любой подключенной флешки porn.exe [Worm.Win32.VB.cz]

**yankowskii** · 09.08.2020, 09:59

Скриншот прикрепил.
Наткнулся на вашем форуме схожую проблему, начал выполнять как написано, застрял на HijackThis.
Все отчеты прикрепил

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.08.2020, 10:00

Уважаемый(ая) yankowskii, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**yankowskii** · 09.08.2020, 10:05

Прикрепил отчет в первом сообщении

**mike 1** · 09.08.2020, 13:01

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd','');
 QuarantineFile('C:\Windows\SYSTEM32\805165423741l.exe','');
 QuarantineFile('C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe','');
 QuarantineFile('C:\Windows\M02405\Ja634608bLay.com','');
 QuarantineFile('C:\Windows\system32\805165423741l.exe','');
 QuarantineFile('C:\Windows\sa-533065.exe','');
 TerminateProcessByName('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\winlogon.exe');
 QuarantineFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\winlogon.exe','');
 TerminateProcessByName('c:\windows\m02405\smss.exe');
 TerminateProcessByName('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\service.exe');
 QuarantineFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\service.exe','');
 TerminateProcessByName('c:\windows\m02405\emangeloh.exe');
 QuarantineFile('c:\windows\m02405\emangeloh.exe','');
 DeleteFile('c:\windows\m02405\emangeloh.exe','32');
 DeleteFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\service.exe','32');
 DeleteFile('c:\windows\m02405\smss.exe','32');
 DeleteFile('c:\users\yankowskii\appdata\roaming\microsoft\windows\templates\o41524z\winlogon.exe','32');
 DeleteFile('C:\Windows\sa-533065.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','T24Z051');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','T1024065TT4');
 DeleteFile('C:\Windows\system32\805165423741l.exe','32');
 DeleteFile('C:\Windows\M02405\Ja634608bLay.com','32');
 DeleteFile('C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe','32');
 DeleteFile('C:\Windows\SYSTEM32\805165423741l.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (yankowskii)','64');
ExecuteSysClean;
Executerepair(9);
Executerepair(16);
Executerepair(17);
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
F2-32 - HKLM\..\WinLogon: [Shell] = explorer.exe, "C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe"
F2-32 - HKLM\..\WinLogon: [UserInit] = C:\Windows\system32\userinit.exe , "C:\Windows\M02405\Ja634608bLay.com"
O4 - HKCU\..\Run: [FACEIT] = C:\Users\yankowskii\AppData\Local\FACEITApp\update.exe --processStart "FACEIT.exe"
O4 - HKCU\..\Run: [T1024065TT4] = C:\Windows\system32\805165423741l.exe  (file missing)
O4 - User Startup: C:\Users\yankowskii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd    ->    (PE EXE)
O4-32 - HKLM\..\Run: [T24Z051] = C:\Windows\sa-533065.exe

Сделайте повторные логи по правилам

Сделайте лог полного сканирования MBAM.

**yankowskii** · 09.08.2020, 19:32

Прикрепил новый архив карантин по красной кнопке "Прислать запрошенный карантин"
Прикрепил к этому сообщению новые логи
Не понял как сделать полный лог полного сканирования MBAM. Мне нужно скачать Malwarebytes?

**mike 1** · 09.08.2020, 21:29

Да, так

**CyberHelper** · 09.08.2020, 21:39

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 8
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\users\yankowskii\appdata\roaming\microsoft\wind ows\start=
  menu\programs\startup\sql.cmd - Worm.Win32.VB.cz ( BitDefen=
  der: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
2. c:\users\yankowskii\appdata\roaming\microsoft\wind ows\templ=
  ates\o41524z\service.exe - Worm.Win32.VB.cz ( BitDefender: Wi=
  n32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
3. c:\users\yankowskii\appdata\roaming\microsoft\wind ows\templ=
  ates\o41524z\tuxo41524z.exe - Worm.Win32.VB.cz ( BitDefender:=
  Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
4. c:\users\yankowskii\appdata\roaming\microsoft\wind ows\templ=
  ates\o41524z\winlogon.exe - Worm.Win32.VB.cz ( BitDefender: W=
  in32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
5. c:\windows\m02405\emangeloh.exe - Worm.Win32.VB.cz ( Bit=
  Defender: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
6. c:\windows\m02405\ja634608blay.com - Worm.Win32.VB.cz ( =
  BitDefender: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
7. c:\windows\sa-533065.exe - Worm.Win32.VB.cz ( BitDefender=
  : Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )
8. c:\windows\system32\805165423741l.exe - Worm.Win32.VB.cz=
  ( BitDefender: Win32.Worm.Brontok.BI, AVAST4: Win32:VB-BQD [Wrm] )

Вирус - создаёт в корне любой подключенной флешки porn.exe [Worm.Win32.VB.cz] (заявка № 225456)

Опции темы