Перейти к содержанию
Правила раздела

Компьютер заражает флеш-носители вирусом(файлы/папки заменяются на ялыки)

rutten

От rutten
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

rutten Новичок

rutten

Опубликовано
Опубликовано

Здравствуйте! 

Недавно столкнулся с двумя проблемами: с поймал где-то вирус, который заменяет все файлы и папки на флешке на ярлыки, то есть делает все файлы невидимыми и системными и создает ярлыки с названиями этих файлов. С таким вирусом ранее сталкивался, думал быстро это дело исправить, но не тут-то было... Пока я додумался как удалить ярлыки (а они не удалялись, ибо ссылались на cmd), пока я удалил сам вирус (.exe, он тоже удалялся только в том случае, если я закрывал все Хост-процессы для задач Windows), в общем пока я почистил и восстановил флешку, вирус, по всей видимости, перекочевал на компьютер и теперь заражает все флешки этой гадостью.

 

Я нашел файлы с этим вирусом в директории C:\Users\UserName\AppData\Roaming, удалил их и можно было спокойно вставлять флешку, компьютер ее не заражал, но стоило мне перезагрузить компьютер, как в этой же директории снова появилось 3 файла этого же вируса, но уже с другими именами (примеры: ABA.exe.gonewiththewings, c731200). 

В общем откуда они берутся...

 

И вторая проблема: бороздя интернет в поисках решения, я заметил, что у меня не открывается сайт Антивируса Касперского и не обновляется база данных сигнатур моего антивируса ESET NOD32 ANTIVIRUS 5.

 

Откуда берутся эти файлы, я без понятия... пытался найти, что их "генерирует", но все напрасно... может вы подскажите? =(

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


может вы подскажите? =(

обязательно подскажем!

 

у Вас во время подготовки логов RSIT не загрузился с сети Hijackthis.

скачайте его самостоятельно и сделайте лог.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\users\Артем\appdata\roaming\f49d.exe');
QuarantineFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','');
QuarantineFile('C:\Windows\Installer\a8c54b5.msi','');
QuarantineFile('C:\System Volume Information\_restore{F27047C8-CD44-4D97-A9B3-D1D24D6DCA5F}\RP376\A0171446.exe','');
QuarantineFile('c:\progra~2\dxfmxo.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe','');
QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','');
QuarantineFile('c:\users\Артем\appdata\roaming\f49d.exe','');
DeleteFile('c:\users\Артем\appdata\roaming\f49d.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe','32');
DeleteFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe','32');
DeleteFile('C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe','32');
DeleteFile('C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr','32');
DeleteFile('c:\progra~2\dxfmxo.exe','32');
DeleteFile('C:\System Volume Information\_restore{F27047C8-CD44-4D97-A9B3-D1D24D6DCA5F}\RP376\A0171446.exe','32');
DeleteFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12h330');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d3d30');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','n31335121');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','na0ss0121');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0123');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0124');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0125');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0126');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0127');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tiyeyx');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','61658');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 m.ok.ru
O1 - Hosts: xer
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 m.ok.ru
O1 - Hosts: xer
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 m.ok.ru
O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr
O4 - HKCU\..\Run: [Tiyeyx] C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [t0r1allsvu] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe
O4 - HKCU\..\Run: [nass0123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe
O4 - HKCU\..\Run: [nass0124] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe
O4 - HKCU\..\Run: [nass0125] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe
O4 - HKCU\..\Run: [nass0126] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe
O4 - HKCU\..\Run: [nass0127] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe
O4 - HKCU\..\Run: [12h330] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe
O4 - HKCU\..\Run: [d3d30] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe
O4 - HKCU\..\Run: [n31335121] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe
O4 - HKCU\..\Run: [na0ss0121] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe
O4 - HKCU\..\Run: [nafejh1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe
O4 - HKCU\..\Run: [nafejh] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe
O4 - HKLM\..\Policies\Explorer\Run: [61658] c:\progra~2\dxfmxo.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Update] "C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe" -shell

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано

Такой вопрос: на сайт Касперского не заходит, а значит и форму не открывает, что делать? как передать эти данные?


У меня есть предположение, что если почистить эту папку C:\Windows\Prefetch, то я смогу зайти на сайт касперского. Но стоит ли мне это делать? Может я кину вам карантин, а вы кинете им на форму?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


если почистить эту папку C:\Windows\Prefetch, то я смогу зайти на сайт касперского

не занимайтесь самолечением. чревато.

 

делайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):





begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\progra~2\dxqwqhjud.exe');
TerminateProcessByName('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe');
QuarantineFile('C:\Users\Артем\AppData\Roaming\*.exe','');
QuarantineFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','');
QuarantineFile('c:\progra~2\dxqwqhjud.exe','');
QuarantineFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','');
QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
DeleteFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32');
DeleteFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe','32');
DeleteFile('c:\progra~2\dxqwqhjud.exe','32');
DeleteFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','61658');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('C:\Users\Артем\AppData\Roaming\','*.exe', false);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:





begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):





O4 - HKCU\..\Run: [t0r1allsvu] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe
O4 - HKLM\..\Policies\Explorer\Run: [61658] c:\progra~2\dxqwqhjud.exe

Сделайте новые логи по правилам.

+

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано

Опять же, зайти на сайт Касперского, а значит и на форму, не могу. Поэтому кидаю архив с карантином сюда.

 

Такой вопрос: я проверил систему Malwarebytes' Anti-Malware, нашло вроде 17 вредных объектов, но я сохранил только логи и ничего не предпринимал, мне осуществить "Удаление объектов" или просто закрыть программу?

Сообщение от модератора Mark D. Pearlstone
Файл Qurantine.zip удалён.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

MBAM-log-2013-11-28 (15-58-39).txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите в MBAM ТОЛЬКО это:



Обнаруженные процессы в памяти: 2
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Действие не было предпринято.

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 3
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\osnovi_html.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rider_on_the_storm 1.00 (Trojan.Agent.VBS) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe System Incorporated (Trojan.FakeAlert) -> Параметры: C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|t0r1allsvu (Worm.AutoRun.Gen) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Windows Update (Backdoor.PWin.Gen) -> Параметры: "C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe" -shell -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe -> Действие не было предпринято.

Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.AutoRun.Gen) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.

Обнаруженные файлы: 21
C:\Users\Артем\AppData\Local\Temp\Adobe\Reader_sl.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\avz4\avz4\Quarantine\2013-11-27\avz00001.dta (Trojan.FakeAlert) -> Действие не было предпринято.
C:\avz4\avz4\Quarantine\2013-11-27\avz00004.dta (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Артем\AppData\Roaming\3B2B.exe.gonewiththewings (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Артем\AppData\Roaming\3BCB.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Артем\AppData\Roaming\c731200 (Trojan.FakeAlert) -> Действие не было предпринято.
c:\users\артем\appdata\roaming\identities\fiyeyj.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> Действие не было предпринято.

Что такое у Вас moby duck ? эта прога нужна? если нет - удалите и это:

C:\Program Files\moby duck\rider_on_the_storm (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\froggi_noggi_topppi_nocci.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\ne_nu_ne_zraza_li.klm (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\ne_nu_ne_zraza_li.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\p0po9i8u7uy6yt5tr4re3ww2jfbgi50y38y92ffb8583vf9292fg38y4934g394fg293g39h4938973t47f983t94fy30ghj430tjg04hg9347f834.fff (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.

новый лог после перезагрузки приложите.

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано

вот


Кстати, на сайт Касперского заходит!!! Но в папке C:\Users\Артем\AppData\Roaming присутствуют 2 екзешника, этот вирус насчет флешек.


Извините, пожалуйста, но я не смогу Вам ответить последующие 2 часа, выбегаю на тренировку :D

Отвечу сразу как приду, спасибо за все, что вы делаете =)

mbam-log-2013-11-28 (14-34-56).txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Удалить после перезагрузки системы.

 

 

интересует лог MBAM после перезагрузки.

папку удалите вручную

C:\Program Files\moby duck\

+

логи AVZ и RSIT

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Удалить после перезагрузки системы.

 

проверил эту папку после перезагрузки с помощью MBAM. Она чистая, лог этой папки прикрепил к сообщению, как и логи AVZ и RSIT

mbam-log-2013-11-28 (20-38-45).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • Антон_63ru
      Зашифрованы файлы в сетевых папках файлообменника (pussylikeashavel@cyberfear.com)
      От Антон_63ru
      Зашифрованы файлы в сетевых файлах на  файлообменнике,  на нем два сетевых интерфейса смотрят в разные локальные сетки..
      в той сетке куда имею доступ "нулевого пациента" нет . Коллеги уверяют, что у них тоже все ок..(
      на самом файлообменнике в нерасшаренных папках файлы WORD и EXCEL не зашифрованы
      Addition.txt crypted_file.7z FRST.txt
    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • KrivosheevYS
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)
      От KrivosheevYS
      Здравствуйте!
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
      Файл с логами прилагается.
      Neshta.rar
×
×
  • Создать...