Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Ярлыки на флешках (http://forum.oszone.net/showthread.php?t=284774)

CoF_TuZ 09-07-2014 09:21 2373965
Ярлыки на флешках
 
Добрый день!
У меня в бухгалтерии 2-а компьютера поймали вирус, на флешках папки и даже не папки стали ярлыками.
Лицензионный Д.Веб не справляется, что то там находит лечит, убирает, вставляешь заранее чистую флешку и всеравно.

Sandor 09-07-2014 10:50 2374000
Здравствуйте!

Работаем с первым компьютером, от которого 1CollectionLog-2014.07.09-10.57.zip
Для второго создайте отдельную тему и выложите там второй лог.

1.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-11093311146\61994061143.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-11093311146\61994061143.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe','');
 QuarantineFile('c:\windows\temp\32bfe8f.sys','');
 QuarantineFile('c:\windows\temp\36f4355.sys','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe','');
 QuarantineFile('C:\Users\Ras_2\AppData\Local\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Users\Ras_2\AppData\Local\Temp\KB00401718.exe','');
 QuarantineFile('C:\Users\Ras_2\AppData\Roaming\Identities\egwjt\egwjt.exe','');
 DeleteFile('C:\Users\Ras_2\AppData\Roaming\Identities\egwjt\egwjt.exe','32');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-11093311146\61994061143.exe');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe');
 DeleteFile('c:\windows\temp\32bfe8f.sys');
 DeleteFile('c:\windows\temp\36f4355.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe');
 DeleteFile('C:\Users\Ras_2\AppData\Local\Temp\Adobe\Reader_sl.exe');
 DeleteFile('C:\Users\Ras_2\AppData\Local\Temp\KB00401718.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a49913123');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6z4666');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6z47666');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SberSign TestHash');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
 DeleteService('32BFE8F');
 DeleteService('36F4355');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится.

2.
После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Подготовьте лог MBAM.

4. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Sandor 18-07-2014 15:29 2378007
Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:
Цитата:
Файлы:
Trojan.Agent.ED, C:\Users\Ras_2\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\2014-07-16\avz00001.dta, , [230fc0e0512abb7bd6e2dab245bcf40c],
Backdoor.IRCBot, C:\Users\Ras_2\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\2014-07-16\avz00002.dta, , [959d6f31710a8caa2ebf07901de43ac6],
Trojan.Agent.ED, C:\Users\Ras_2\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\2014-07-16\avz00003.dta, , [d55d990714672f071e5da4f7da2701ff],
Trojan.Dropped, C:\Windows\System32\hidcon.exe, , [8fa3dac66e0d8ea80231208832cf28d8],
После этого сделайте еще раз полное сканирование MBAM и лог результата покажите.

p.s. На почту следовало отправлять только карантин, а логи выкладывайте сюда.

CoF_TuZ 21-07-2014 13:00 2379262
Sandor, при повторном сканирование MBAM нашел только 4 которые я не удалил. Попробовал флешку вставить и все нормально, больше нету ярлыков. Давайте пожалуйста перейдем ко второму компьютеру.

Sandor 21-07-2014 13:16 2379270
Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Создайте для второго ПК отдельную тему и там выложите его логи.


Время: 07:08.

Время: 07:08.
© OSzone.net 2001-