HEUR:Trojan.Script.Agent.gen (модификация)

[Ерсайын Майлыбаев]

Здравствуйте, флешка заразилась, антивирус Касперского находить HEUR:Trojan.Script.Agent.gen (модификация), файлы на флешке становятся скрытыми, после лечения и форматирования флешки вирус заново определяется антивирусом. Помогите побороть вирус. 

[SQ]

Порядок оформления запроса о помощи.

[Ерсайын Майлыбаев]

Порядок оформления запроса о помощи.

 

 

CollectionLog-2016.09.21-08.37.zip

[SQ]

Здравствуйте,

 

Сами прописывали прокси-сервер?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 182.254.77.77:3128
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 1182.254.77.77:3128

HiJackThis профиксить

O4 - Global User Startup: Start.lnk    ->    C:\Users\admin\AppData\Roaming\cfmhckpn\ingrelqho.exe
O4 - User Startup: Start.lnk    ->    C:\Users\admin\AppData\Roaming\cfmhckpn\ingrelqho.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\admin\AppData\Roaming\cfmhckpn\eagvw.js','');
 QuarantineFile('C:\Users\admin\AppData\Roaming\cfmhckpn\ingrelqho.exe','');
 QuarantineFileF('C:\Users\admin\AppData\Roaming\cfmhckpn', '*', false,'', 0, 0); 
 QuarantineFile('c:\program files (x86)\drive space indicator\drvspace.exe','');
 QuarantineFile('c:\program files (x86)\ncalayer\ncalayer.exe','');
 DeleteFile('C:\Users\admin\AppData\Roaming\cfmhckpn\eagvw.js','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Ерсайын Майлыбаев]

Запрос на исследование вредоносного файла [KLAN-5076586727]

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

dipbtlxjh,
ncalayer.exe,
AdwCleaner[s0].txt

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

drvspace.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

[SQ]

Приложите ранее запрошенный лог AdwCleaner[s0].txt в теме.

[Ерсайын Майлыбаев]

Приложите ранее запрошенный лог AdwCleaner[s0].txt в теме.

AdwCleanerS0.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.