Решена Вирус на флешке: появление новых файлов и папки RECYRCER

[TheFirstNoob]

Поймал вирус пока меня не было соседка решила вставить флешку и вот результат: появились файлы которых я Вообще не встречал и прописался так же в папку RECYRCER или как-то так
Файлы обнаруженные в диспечере: e5188982,mp1lmq2,uffive92
Логи RSIT и AVZ прилагаю MBAM Сканирует.

P.S Avz не обновляется пишет ошибку.
Если что могу еще сделать сканирование Dr.web CureIt
MBAM еще крикнул о файле UFFIVE92.EXE я кинул в карантин ради безопасности.

 

[Ботан]

Приветствую TheAssassin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.​

 

[TheFirstNoob]

Дополнил файл.

 

[akok]

Необходимо обновить базы AVZ и переделать логи.

 

[TheFirstNoob]

Необходимо обновить базы AVZ

Попробовал еще раз не обновляет пишет ошибку:
Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновлении avzupd.zip с (ссылка) [21,00002EFF]

 

[TheFirstNoob]

MBAM лог

 

[akok]

То, что нашел MBAM можно удалить.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 if ExecuteAVUpdateEx('http://avz.safezone.cc/base/', 0, '','','') then
  AddToLog('Обновление AV баз (по настройкам IE) успешно выполнено');
end.

Добавлено через 33 секунды
Или скачайте обновления авз архивом http://z-oleg.com/secur/avz_up/avzbase.zip затем распакуете в папку Base

 

[TheFirstNoob]

Прошу прощение до меня дошло что можно обновление скачать, вот лог заного.

 

[TheFirstNoob]

Эм по поводу MBAM я когда делал темку про Autorun.inf мне сказали чтобы я не трогал некоторые файлы это:
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011663.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011671.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011719.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011735.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011746.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011778.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0012776.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0014845.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP42\A0027036.exe (Backdoor.IRCBot) -> Действие не было предпринято.

Добавлено через 13 минут 18 секунд
И что мне делать с файлом который в карантине?

 

[akok]

В последнем карантине ничего нет. В первом карантине лежал
Win32.HLLW.Autoruner.17766 (Trojan-Downloader.Win32.Injecter.jjp). Сейчас посмотрю лог.

Добавлено через 11 минут 3 секунды
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\User\Application Data\Lyusud.exe',' ');
 QuarantineFile('C:\Documents and Settings\User\Application Data\15.tmp',' ');
 QuarantineFile('C:\Documents and Settings\User\Application Data\Lyusud.exe',' ');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe','');
 QuarantineFile('C:\WINDOWS\Temp\jline_git-Bukkit-1_1-R3-b1846jnks.dll','');
 QuarantineFile('c:\windows\system32\java.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\Lyusud.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe');
 DeleteFileMask('C:\Documents and Settings\User\Application Data', '*.tmp', false);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
ExecuteRepair(16);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Добавлено через 2 минуты 5 секунд
Повторите логи AVZ и RSIT. И нет нужнды прикладывать карантин к теме virusinfo_cure.zip

 

[TheFirstNoob]

Перед тем как выполнить скрипт мне удалять все сейчас что нашел в MBAM или после скрипта? и файл uffive92.exe он попался в карантин во время сканирование может он просто не попал в лог и вы его не заметили

 

[akok]

файл uffive92.exe он попался в карантин во время сканирование может он просто не попал в лог и вы его не заметили

Win32.HLLW.Autoruner.17766 (Trojan-Downloader.Win32.Injecter.jjp).

Давайте по очереди тогда:
1. Выполняем скрипт AVZ
2. Готовим новый лог MBAM (старое сканирование можно закрыть)
3. Готовим логи AVZ и RSIT.

 

[TheFirstNoob]

Выполнил скрипт в диспечере появился файл TASKMAN.EXE ну теперь я понимаю что он по идее запускает вирус,а если его удалить (я знаю где он нходиться) ничто не случиться???

P.S. уже как 15 минут загружается на сайте и не грузит может можно как-то по другому?

 

[akok]

Выполнил скрипт в диспечере появился файл TASKMAN.EXE ну теперь я понимаю что он по идее запускает вирус,а если его удалить (я знаю где он нходиться) ничто не случиться???

Файл TASKMAN.EXE проверьте на www.virustotal.com ссылку на результат запостите.

Добавлено через 12 секунд
Лог MBAM готовите?

Добавлено через 49 секунд

P.S. уже как 15 минут загружается на сайте и не грузит может можно как-то по другому?

Карантин через форму?

Попробуем так:
quarantine<at>virusnet.info (at=@) в заголовке (теме) письма укажите ссылку на тему.

 

[TheFirstNoob]

Mbam уже сканирует и еще мин 10 надо,а файл TASKMAN.EXE 0/43 тогда вопрос почему запустился taskman когда удалили часть вируса у меня он тоже запускался когда я лечил Autorun.inf мне посоветовали в реестаре там значение ему изменить и все. Комп вылечен был,мне просто интересно что делает тогда taskman.exe?

Добавлено через 5 минут 45 секунд
Да карантин кидал через форму,а вот поповоду

Попробуем так:
quarantine<at>virusnet.info (at=@) в заголовке (теме) письма укажите ссылку на тему.

Я чето не соовсем понял надо прописать это в адресной строке или что?

 

[akok]

запустился taskman когда удалили часть вируса у меня он тоже запускался когда я лечил Autorun.inf мне посоветовали в реестаре там значение ему изменить и все. Комп вылечен был,мне просто интересно что делает тогда taskman.exe?

Зловред подменил в реестре путь до диспетчера задач. Сейчас по ctr+alt+delete что открывается?

На quarantine@virusnet.info отправьте сообщение в теме которого необходимо указать

TheAssassin|http://safezone.cc/forum/showthread.php?t=17290

 

[TheFirstNoob]

Сейчас по ctr+alt+delete что открывается?

Диспечер задач Windows

Добавлено через 47 секунд
и что надо сделать по ссылке кинуть карантин?

 

[TheFirstNoob]

Прилагаю MBAM.

 

[TheFirstNoob]

Полазил по старой моей теме может мне просто очистить значение Taskman?

 

[akok]

Полазил по старой моей теме может мне просто очистить значение Taskman?

А что делал в скрипте AVZ?

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe 
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe 
H:\RECYCLER\e5188982.exe

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lyusud]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\elmq5]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\five922]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.