Вирус с USB флешки (Worm.VBS.Agent)

**Langrizzer** · 25.10.2021, 17:13

Добрый день.
Делал в одной организации "фото на документы", скинули фото на мою флешку. Принёс её домой, вместо кучи мои файлов был только Transcend.lnk. Я совершил глупость и не подумав нажал на него. Далее произошло - " Прекращена работа программы "DungCoi" ". Kaspersky Free много чего нашёл. Worm.VBS.Agent.gl, Worm.VBS.Agent.gn, Worm.VBS.Agent.gm, IM-Worm.Win32.VB.In, Trojan.WinLNK.Agent.po Флешка после этого стала пустая, но занятый объём на ней такой же (подскажите как и чем восстановить).

Лог прилагаю.
С Уважением, Эдуард

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.10.2021, 17:15

Уважаемый(ая) Langrizzer, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 25.10.2021, 19:56

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - MSConfig\startupreg: Discord [command] = C:\Users\Langrizzer\AppData\Local\Discord\app-0.0.305\Discord.exe (HKCU) (2019/03/26) (file missing)

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Для восстановления скрытых файлов скопируйте следующий текст в Блокнот и сохраните как run.bat:

Код:

attrib "*" -s -h /S /D

скопируйте файл run.bat в корень флешки и запустите.
Внимание: не запускайте этот файл, когда он находится на жестком диске!

**Langrizzer** · 26.10.2021, 00:41

Всё сделал, спасибо.
Файлы с флешки восстановились.

Отчёт приложил.

**Vvvyg** · 26.10.2021, 07:43

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Langrizzer** · 03.11.2021, 14:18

Отчёт приложил.

**Vvvyg** · 03.11.2021, 14:55

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

Устанавливайте обязательно, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, до сих пор активно используется шифровальщиками, майнерами и троянами для проникновения в систему.

С учётом этого

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

систему крайне желательно обновить по полной, через автоматическое обновление, а лучше - с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критические фиксы, в т. ч. от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.

У антивируса устарели базы, сами они отключены:

Kaspersky Free (выключен и устарел)

И сами программы не актуальных версий:

Malwarebytes, версия 3.7.1.2839 v.3.7.1.2839 Внимание! Скачать обновления
Kaspersky Free v.20.0.14.1085 Внимание! Скачать обновления

И ещё много программ, которые в целях безопасности рекомендуется обновить, либо удалить:

Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Discord v.0.0.310 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Yandex v.21.5.1.330 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Brave v.91.1.25.72 Внимание! Скачать обновления
Opera Stable 80.0.4170.63 v.80.0.4170.63 Внимание! Скачать обновления

Это лучше удалить, если ставили не специально, а просто вместе с браузером:

Кнопка "Яндекс" на панели задач v.2.0.0.2116 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

И всё на этом.

**Langrizzer** · 07.11.2021, 00:45

Хорошо, спасибо.

Да, с обновлениями я глупость сделал. Просто у меня давно Win7 Ultimate и я помню ещё RemoveWat применял, с 2011. Обновления я ставил одно время и помню из-за них активация винды слетала и из-за этого их я отключил.

Думаю ещё экспериментом платный антивирус какой-нибудь взять, или Kaspersky, как раз с мвидео с бонусами часть стоимости собью. Но сам он как-то не нравится мне, такой ощущение что он как будто "админские права на себя берёт". Постоянно на известных "нормальных" сайтах пишет "Этот сертификат или один из сертификатов в цепочке не актуален" и в целом система ощутимо подвисает с ним. Или что-то новое попробовать, например Dr.Web.

**Vvvyg** · 07.11.2021, 19:18

Скорее всего, в системе не обновлены корневые сертификаты. Установите хотя бы это обновление и проверьте проблему с сертификатами на сайтах.

**thyrex** · 07.11.2021, 23:13

Можно попробовать установить пакет обновлений UpdatePack7R2 от simplix

Вирус с USB флешки (Worm.VBS.Agent) (заявка № 227276)

Опции темы