Поиск вирусов

[KEHU]

Поиск вирусов

Добрый день! Сегодня 3 компьютера на работе заразилась какой то фигней!
Они мне на общем диске собрали все файлы в папку и создали своих файлов! (Теперь не знаю как все вернуть на место)
Если удалить созданные вирусом файлы то они снова создаются!

 

[safety]

доступ к общему диску отключите, пока не пролечите все компы.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\M-505045058025025030484340240\WINMGR.EXE
addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINADDRS.EXE
addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\TEMPLATES\CVMONT.EXE
zoo %SystemDrive%\USERS\NATA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %SystemDrive%\USERS\MELLER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %SystemDrive%\PROGRAMDATA\LOCAL SETTINGS\TEMP\CCIIOUHX.COM
addsgn A7679BF0AA02EC024BD4C67928881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0BF0C49F75C4C32EF4CAE49513DA3BE4AC965B2FC706AB7E 8 Downloader.Wauchos.L [ESET-NOD32]

zoo %SystemDrive%\USERS\NATA\APPDATA\LOCAL\TEMP\ZYSRIHCJEDYSVQLKFAZYSNIDYFAUPKBB.COM
zoo %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\120\SHARED\SQLWTSN.EXE
addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 kemu

zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\CQLMEHUSXG.EXE
regt 5
delall Z:\AUTORUN.INF
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\NATA\APPDATA\LOCAL\ATGRWORKS\BQZPAKMN.DLL
del %SystemDrive%\USERS\NATA\APPDATA\LOCAL\ATGRWORKS\BQZPAKMN.DLL

delref %SystemDrive%\USERS\NATA\APPDATA\LOCAL\UWFMEDIA\WNPWEVKG.DLL
del %SystemDrive%\USERS\NATA\APPDATA\LOCAL\UWFMEDIA\WNPWEVKG.DLL

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru
----------
+
добавьте новый образ автозапуска.
(вполне возможно, что это файловое заражение.)

 

[KEHU]

Буду на работе попробую! Мне этот скрипт запустить на всех зараженых компьютерах?
И еще

добавьте новый образ автозапуска.

Это надо опять подготовить лог uVS?

 

[safety]

пока по одной машине надо разобраться, с чем мы имеем дело: трояны и сетевые черви или файловые вирусы.

Это надо опять подготовить лог uVS?

да.

 

[KEHU]

Вроде помогло! Спасибо!
Выкладываю повторный образ!
Что мне делать с оставшимися компьютерами?

 

[safety]

@KEHU,
судя по повторному образу сейчас чисто на этом компе.
добавьте теперь образы автозапуска с оставшихся двух машин.
+
это выполните с первой машины.

архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru

 

[KEHU]

@KEHU,
судя по повторному образу сейчас чисто на этом компе.
добавьте теперь образы автозапуска с оставшихся двух машин.
+
это выполните с первой машины.

Вот 2 лога!
Тот который MALU я уверен и занес всю эту заразу!!!

Вышлю обязательно! Как доберусь до своего компа!

 

[safety]

по компу malu:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 64 Win32/Phorpiex.C [ESET-NOD32]

zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %SystemDrive%\USERS\MALU\M-505045058025025030484340240\WINMGR.EXE
zoo %SystemDrive%\USERS\MALU\M-505024405023950353820304013020\WINSVC.EXE
addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 Win32/Agent.YEP [ESET-NOD32]

zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\FBMPQZSUWK.EXE
zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\JHDXKHDZHL.EXE
zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\ARUUWLRMGR.EXE
adddir %SystemDrive%\USERS\MALU\APPDATA\ROAMING
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://OVGORSKIY.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

 

[safety]

по компу 3-pcv:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\TEMPLATES\CVMONT.EXE
addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\WINADDRS.EXE
zoo %SystemRoot%\M-505045058025025030484340240\WINMGR.EXE
addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 64 Win32/Phorpiex.C [ESET-NOD32]

zoo %SystemDrive%\USERS\33\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF
zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\GWOQYQDFGQ.EXE
addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 Win32/Agent.YEP [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\33\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.19.0_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTP://OVGORSKIY.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

 

[KEHU]

Все все проблемы решились спасибо чудо люди!

 

[safety]

@KENU,
хорошо когда проблемы решаются чудо людьми, или просто людьми,
но где же ваши установленные антивирусы?
без них новые проблемы вам обеспечены и не за горами.