Поиск вирусов

KEHU · 16.09.2016, 23:02

Добрый день! Сегодня 3 компьютера на работе заразилась какой то фигней!
Они мне на общем диске собрали все файлы в папку и создали своих файлов! (Теперь не знаю как все вернуть на место)
Если удалить созданные вирусом файлы то они снова создаются!

safety · 17.09.2016, 05:02

доступ к общему диску отключите, пока не пролечите все компы.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\M-505045058025025030484340240\WINMGR.EXE
addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINADDRS.EXE
addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\TEMPLATES\CVMONT.EXE
zoo %SystemDrive%\USERS\NATA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %SystemDrive%\USERS\MELLER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %SystemDrive%\PROGRAMDATA\LOCAL SETTINGS\TEMP\CCIIOUHX.COM
addsgn A7679BF0AA02EC024BD4C67928881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0BF0C49F75C4C32EF4CAE49513DA3BE4AC965B2FC706AB7E 8 Downloader.Wauchos.L [ESET-NOD32]

zoo %SystemDrive%\USERS\NATA\APPDATA\LOCAL\TEMP\ZYSRIHCJEDYSVQLKFAZYSNIDYFAUPKBB.COM
zoo %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\120\SHARED\SQLWTSN.EXE
addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 kemu

zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\CQLMEHUSXG.EXE
regt 5
delall Z:\AUTORUN.INF
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\NATA\APPDATA\LOCAL\ATGRWORKS\BQZPAKMN.DLL
del %SystemDrive%\USERS\NATA\APPDATA\LOCAL\ATGRWORKS\BQZPAKMN.DLL

delref %SystemDrive%\USERS\NATA\APPDATA\LOCAL\UWFMEDIA\WNPWEVKG.DLL
del %SystemDrive%\USERS\NATA\APPDATA\LOCAL\UWFMEDIA\WNPWEVKG.DLL

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru
----------
+
добавьте новый образ автозапуска.
(вполне возможно, что это файловое заражение.)

KEHU · 18.09.2016, 01:10

Буду на работе попробую! Мне этот скрипт запустить на всех зараженых компьютерах?
И еще

Цитата:

добавьте новый образ автозапуска.

Это надо опять подготовить лог uVS?

safety · 18.09.2016, 06:12

пока по одной машине надо разобраться, с чем мы имеем дело: трояны и сетевые черви или файловые вирусы.

Цитата:

Это надо опять подготовить лог uVS?

да.

KEHU · 19.09.2016, 18:57

Вроде помогло! Спасибо!
Выкладываю повторный образ!
Что мне делать с оставшимися компьютерами?

safety · 19.09.2016, 19:36

@KEHU,
судя по повторному образу сейчас чисто на этом компе.
добавьте теперь образы автозапуска с оставшихся двух машин.
+
это выполните с первой машины.

Цитата:

архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru

KEHU · 19.09.2016, 20:40

Цитата:

Сообщение от safety

@KEHU,
судя по повторному образу сейчас чисто на этом компе.
добавьте теперь образы автозапуска с оставшихся двух машин.
+
это выполните с первой машины.

Вот 2 лога!
Тот который MALU я уверен и занес всю эту заразу!!!

Вышлю обязательно! Как доберусь до своего компа!

safety · 20.09.2016, 05:38

по компу malu:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 64 Win32/Phorpiex.C [ESET-NOD32]

zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %SystemDrive%\USERS\MALU\M-505045058025025030484340240\WINMGR.EXE
zoo %SystemDrive%\USERS\MALU\M-505024405023950353820304013020\WINSVC.EXE
addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 Win32/Agent.YEP [ESET-NOD32]

zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\FBMPQZSUWK.EXE
zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\JHDXKHDZHL.EXE
zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\ARUUWLRMGR.EXE
adddir %SystemDrive%\USERS\MALU\APPDATA\ROAMING
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://OVGORSKIY.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

safety · 20.09.2016, 05:42

по компу 3-pcv:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\TEMPLATES\CVMONT.EXE
addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\WINADDRS.EXE
zoo %SystemRoot%\M-505045058025025030484340240\WINMGR.EXE
addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 64 Win32/Phorpiex.C [ESET-NOD32]

zoo %SystemDrive%\USERS\33\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\GWOQYQDFGQ.EXE
addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 Win32/Agent.YEP [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\33\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.19.0_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTP://OVGORSKIY.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

KEHU · 20.09.2016, 21:10

Все все проблемы решились спасибо чудо люди!

20.09.2016, 05:38	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	по компу malu: выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 64 Win32/Phorpiex.C [ESET-NOD32] zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF zoo %SystemDrive%\USERS\MALU\M-505045058025025030484340240\WINMGR.EXE zoo %SystemDrive%\USERS\MALU\M-505024405023950353820304013020\WINSVC.EXE addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 Win32/Agent.YEP [ESET-NOD32] zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\FBMPQZSUWK.EXE zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\JHDXKHDZHL.EXE zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\ARUUWLRMGR.EXE adddir %SystemDrive%\USERS\MALU\APPDATA\ROAMING ;------------------------autoscript--------------------------- chklst delvir delref HTTP://OVGORSKIY.RU deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes

16.09.2016, 23:02
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Похожие темы на нашем форуме, почитайте Поиск вирусов Очистка от вирусов Поиск вирусов, вызывающих появление "синего экрана" McAfee AVERT Stinger 10.1.0.838: поиск вирусов Куча вирусов...

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

20.09.2016, 21:10	#10 (permalink)
KEHU Member Регистрация: 23.11.2010 Сообщений: 146 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Все все проблемы решились спасибо чудо люди!