Компьютер заражает флеш-носители вирусом(файлы/папки заменяются на ялыки)

[Roman_Five]

нужен лог полного сканирования MBAM.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Артем\AppData\Roaming\46A1.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\2ECF.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\*.exe',' ');
DeleteFileMask('C:\Users\Артем\AppData\Roaming\','*.exe ',false ,' ');
QuarantineFile('C:\Users\Артем\AppData\Roaming\Identities\Fiyeyj.exe','');
DeleteFile('C:\Users\Артем\AppData\Roaming\46A1.exe');
DeleteFile('C:\Users\Артем\AppData\Roaming\2ECF.exe');
DeleteFile('C:\Users\Артем\AppData\Roaming\Identities\Fiyeyj.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fiyeyj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [Fiyeyj] C:\Users\Артем\AppData\Roaming\Identities\Fiyeyj.exe

Сделайте новые логи по правилам.

 

+

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

[rutten]

Извините, такой вопрос: лог MBAM нужно сделать ДО вышеупомянутых вами указаний или ПОСЛЕ?

Спрашиваю ибо программа выдаст мне перечень файлов на удаление и мне придется же спросить вас о том, что мне удалять и что не надо

[Roman_Five]

не важно. просто приложите все логи.

[rutten]

Вот лог полного сканирования.

Как я понял, там уже нечего удалять, всего 7 объектов, но они не вирусы.

 

Начинаю делать следующие указания

Ответ от лаборатории Касперского:

 

 

 

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 

2ECF.exe,
46A1.exe

These files are in process.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

Насчет этих файлов 

2ECF.exe,
46A1.exe

 

Их уже нет.

 

Прикрепляю остальные логи

Я только что написал сообщение, и кто-то его отредактировал о_О Нет куска текста из письма от Лаборотории Касперского. Продублирую:

 

 

 

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 

2ECF.exe,
46A1.exe

These files are in process.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

MBAM-log-2013-11-29 (17-47-43).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

ComboFix.rar

[Roman_Five]

чисто.

 

деиснталлируйте MBAM/

 

удалите combofix

http://safezone.cc/threads/kak-pravilno-udalit-combofix.2892/

 

что в этих папках:

C:\LOP
C:\KKK
C:\K

?

проверьте ВСЕ флэшки антивирусным сканером.

 

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

 

Выполните

http://virusinfo.info/showthread.php?t=73352

[rutten]

 

что в этих папках:

C:\LOP
C:\KKK
C:\K

 

ничего такого. там были тестовые данные для моей лабароторной работы)

 

 

удалите combofix

http://safezone.cc/t...-combofix.2892/

не получается так удалить, пишет, что не находит путь

 

 

 

проверьте ВСЕ флэшки антивирусным сканером.

 

Чем посоветуете проверять?

[Roman_Five]

удаляйте утилитой.

 

вашим. нод32

[rutten]

Та отож НОД32 и не заметил этот вирус, ну да ладно, я его на флешке в ручную через Total Commander удалил. Ибо он был скрытым и системным.

 

Заметил, что последний (может и остальные) скрипт 

для обнаружения опасных уязвимостей

 написан на паскале, это так?)

 

Так или иначе, ВАЛЕРИЙ, ОГРОМНОЕ ВАМ СПАСИБО, за ВСЕ! Вы и ваша команда по истине делаете хорошее дело! Очень помогли) А то я бы в реестре возился месяцами, что бы найти изъян)

[Roman_Five]

нет. это собственный (AVZ-шный) скриптовый язык

[Beklife]

Здравствуйте дорогие лекари у меня тоже сама я проблема я выложил сам вирус на архиве rar ниже упакован на зараженном компьютере с места C://windows/temp/adobe может сами как то добавите на базах антивируса что б дальнейшем после обновлении антивирус сам находит вирус и удалил спасибо за вниманию.

[thyrex]

@Beklife, если требуется проверка компьютера, создавайте свою тему