Вирус VBS:Malware-gen

@RomanRoman114 · Регистрация: 22.02.2017

Author24 — интернет-сервис помощи студентам

Здравствуйте.

Со вчерашнего дня стало регулярно выскакивать предупреждение от Аваста.
Скрин прилагаю. Не расскажете, какая задача у этого вируса?
Помогите, пожалуйста.

@shestale · 23.02.2017, 07:55

Внимание! Рекомендации написаны специально для RomanRoman114. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\salus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Salus\CrashMon.exe', '');
 DeleteFile('C:\Program Files (x86)\Salus\CrashMon.exe', '32');
 DeleteFileMask('c:\program files (x86)\salus', '*', true);
 DeleteDirectory('c:\program files (x86)\salus');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Salus CrashMon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Salus CrashMon');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!
Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.
Подготовьте лог AdwCleaner.

@RomanRoman114 · 23.02.2017, 13:44 **[ТС]**

С праздником.

Со вчерашнего веера перестал Аваст предупреждать об этом вирусе. Хотя в течении дня через каждые 15-20 минут трубил. Сегодня так же ни разу не выскакивало окна.
1. Скрипт. Выполнил. Но по итогу программа(как узнал после - на самом конце скрипта) подвисла. Интернет выключился. Закрыл её через диспетчер задач и перезагрузился. Снова выполнил скрипт. Снова зависла(не отвечала). Решил сделать скрин, чтобы вам отправить. Пока открывал фотошоп началась перезагрузка.
2. Вероятно ввиду пункта 1 файл карантин.зип оказался пуст и отправить его не получилось. (((
3. Прикрепляю.
4. Прикрепляю.

@shestale · 23.02.2017, 13:51

Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.

@RomanRoman114 · 23.02.2017, 15:06 **[ТС]**

Готово.

@shestale · 24.02.2017, 05:42

Если проблем больше нет, тогда
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@RomanRoman114 · 24.02.2017, 17:21 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 24.02.2017 17:16:48
Path starting: C:\Users\Марк\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Марк
VersionXML: 3.94is-22.02.2017
___________________________________________________________________________

Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 30.07.2014 19:42:50
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [914.7 Гб] Занято: [249.2 Гб] Свободно: [665.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18538
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2017-02-05 07:23:40
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4454.1510
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Avast Antivirus (выключен и устарел)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
Avast Antivirus (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.12.3.2280
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.10 (64-разрядная) v.5.10.0 Внимание! Скачать обновления
OpenOffice 4.1.1 v.4.11.9775 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Pidgin v.2.10.9 Внимание! Скачать обновления
Skype™ 7.32 v.7.32.104 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 72 v.7.0.720 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.221
Adobe Flash Player 24 PPAPI v.24.0.0.221
------------------------------- [ Browser ] -------------------------------
Opera Stable 43.0.2442.991 v.43.0.2442.991
Tor Browser 5.5.8 v.5.5.8 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Opera\43.0.2442.991\opera.exe v.43.0.2442.991
C:\Users\Марк\Desktop\Tor Browser\Browser\firefox.exe v.45.7.0.6241
C:\Users\Марк\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe v.0.0.0.0
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.12.3.3154.0
C:\Program Files\AVAST Software\Avast\avastui.exe v.12.3.3154.23
McAfee Validation Trust Protection Service (mfevtp) - Служба работает
C:\Windows\System32\mfevtps.exe
McAfee Firewall Core Service (mfefire) - Служба работает
C:\Program Files\Common Files\mcafee\systemcore\mfefire.exe v.15.1.0.674
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@shestale · 24.02.2017, 17:32

Закрывайте уязвимости.
+
Выполните рекомендации после удаления вредоносного ПО

@RomanRoman114 · 24.02.2017, 17:37 **[ТС]**

Спасибо.

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	23.02.2017, 13:51	4
	Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.02.2017, 05:42	6
	Если проблем больше нет, тогда Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24 Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ. Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0

@RomanRoman114 0 / 0 / 0 Регистрация: 22.02.2017 Сообщений: 5
	24.02.2017, 17:21 [ТС]	7
	SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16] WebSite: www.safezone.cc DateLog: 24.02.2017 17:16:48 Path starting: C:\Users\Марк\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Марк VersionXML: 3.94is-22.02.2017 ___________________________________________________________________________ Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419) Дата установки ОС: 30.07.2014 19:42:50 Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe Системный диск: C: ФС: [NTFS] Емкость: [914.7 Гб] Занято: [249.2 Гб] Свободно: [665.5 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18538 Контроль учётных записей пользователя включен Уведомлять о загрузке и установке обновлений Дата установки обновлений: 2017-02-05 07:23:40 Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2013 x86 v.15.0.4454.1510 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (выключен и обновлен) Avast Antivirus (выключен и устарел) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и обновлен) Avast Antivirus (выключен и устарел) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Free Antivirus v.12.3.2280 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.10 (64-разрядная) v.5.10.0 Внимание! Скачать обновления OpenOffice 4.1.1 v.4.11.9775 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Pidgin v.2.10.9 Внимание! Скачать обновления Skype™ 7.32 v.7.32.104 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 7 Update 72 v.7.0.720 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe). Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 24 NPAPI v.24.0.0.221 Adobe Flash Player 24 PPAPI v.24.0.0.221 ------------------------------- [ Browser ] ------------------------------- Opera Stable 43.0.2442.991 v.43.0.2442.991 Tor Browser 5.5.8 v.5.5.8 Внимание! Скачать обновления --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Opera\43.0.2442.991\opera.exe v.43.0.2442.991 C:\Users\Марк\Desktop\Tor Browser\Browser\firefox.exe v.45.7.0.6241 C:\Users\Марк\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe v.0.0.0.0 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Avast Antivirus (avast! Antivirus) - Служба работает C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.12.3.3154.0 C:\Program Files\AVAST Software\Avast\avastui.exe v.12.3.3154.23 McAfee Validation Trust Protection Service (mfevtp) - Служба работает C:\Windows\System32\mfevtps.exe McAfee Firewall Core Service (mfefire) - Служба работает C:\Program Files\Common Files\mcafee\systemcore\mfefire.exe v.15.1.0.674 Служба Защитника Windows (WinDefend) - Служба остановлена Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.02.2017, 17:32	8
	Закрывайте уязвимости. + Выполните рекомендации после удаления вредоносного ПО 0

@RomanRoman114 0 / 0 / 0 Регистрация: 22.02.2017 Сообщений: 5
	24.02.2017, 17:37 [ТС]	9
	Спасибо. 0