heur:worm.script.generic

[Intenditore]

Здравствуйте!

Поставил программу (могу передать дистрибутив), во время установки которой в автозагрузку решил прописаться %user$\AppData\Roaming\WinrpUpdate\WinrpUpdate.vbe. Сразу заподозрил неладное, поставил KAVS, в результате получил:



Надеялся, что он до перезагрузки не запускался, но оказался наивен. По дескрипторам в Anvir нашёл процесс vdb-хост, выполняющий эту дрянь.

В итоге сразу откатил систему к моменту до установки. Ни скриптов, ни папок, в которых они лежали, больше нет.

Попытался найти информацию по тому, что делает этот вирь и куда ещё пишется. Нашёл очень мало, вроде, пишется в autorun.inf всех подключённых дисков. Но я не нашёл ни на одном диске авторанов. Куда и что он прописал в реестре тоже не знаю.

Каспер более не нашёл ничего - ни авторанов, ни чего бы то ни было ещё на диске или в реестре. Так же он не признал угрозы в установочных файлах. В связи с этим прошу помочь - как удостовериться в чистоте системы и можно ли найти информацию, что именно ещё мог сделать этот вирь? 

CollectionLog-2018.08.06-21.24.zip

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


- Подготовьте лог AdwCleaner и приложите его в теме.
 

Подозрительный дистрибутив отправьте пожалуйста через форму на newvirus.kaspersky.com

[Intenditore]

Почему-то мне не пришло оповещения о ответе, я думал его нет

Всё выполнил, вот Отчёт:

 

# -------------------------------
# Malwarebytes AdwCleaner 7.2.2.0
# -------------------------------
# Build: 07-17-2018
# Database: 2018-08-17.2
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 08-19-2018
# Duration: 00:00:14
# OS: Windows 8.1 Single Language
# Scanned: 41797
# Detected: 2


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Carambis HKCU\Software\Carambis

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

PUP.Optional.Legacy Элементы Яндекса: Почта

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

 

 

 

Так же наблюдал странное поведение - после попытки закрыть виндовый metro пдф ридер стали намертво зависть приложения, оказывающиеся активными. Так упал ФФ и Телеграм. В Anvir, который всё же запустился, из подозрительного был только пресловутый Rundll:

C:\Windows\System32\rundll32.exe shell32.dll,SHCreateLocalServerRunDll {9BA05972-F6A8-11CF-A442-00A0C90A8F39} -Embedding

А ещё вчера после выхода из сна беспричинно упал драйвер nvidia. Но это могло произойти и просто так

Изменено 19 августа, 2018 пользователем Intenditore

[regist]

Почему-то мне не пришло оповещения о ответе

у вас нет подписки не тему. Можете добавить нажав

Подписаться на тему

в верхнем правом угло.

Для того чтобы автоматом подписываться на тему надо изменить настройки в своём профиле.