Вирус на флэшке - вместо файлов ярлыки [not-a-virus:Downloader.Win32.Zona.b, not-a-virus:Downloader.Win32.Zona.a ]

[Arizona Ranger]

Доброго времени суток.
На флэшке все файлы превратились с ярлыки, а названия - в символы. Очень хотелось бы восстановить содержимое.
Прошу помощи
Спасибо
Screenshot_2.png

[Info_bot]

Уважаемый(ая) Arizona Ranger, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

ProxyServer="http=127.0.0.1:3213;https=127.0.0.1:3 213" - сами прописывали?

chrome remote desktop - сами ставили?

Чтобы отключить автозапуск вируса с флешек выполните скрипт

Код:

begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RebootWindows(false);
end.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

[Arizona Ranger]

ProxyServer="http=127.0.0.1:3213;https=127.0.0.1:3 213" - сами прописывали?

Не совсем понимаю, что это значит, может быть связано с vpn? Ничего сама не прописывала
Chrome remote desktop ставила сама

http://virusinfo.info/virusdetector/...47A29711417431

[regist]

1) Запустите этот файл и деинсталийте

Код:

C:\PROGRAM FILES\TENCENT\WECHAT\UNINSTALL.EXE

2) Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
sreg
dirzooex %SystemDrive%\PROGRAM FILES\MOBOGENIE
deldir %SystemDrive%\PROGRAM FILES\MOBOGENIE

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\TENCENTDL.EXE
bl 92347A3335388FD8DE040B24E4B8A472 904760
delall \\?\C:\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\TENCENTDL.EXE

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\DOWNLOADPROXYPS.DLL
bl E9D54EF47FA2D4867533EAE934B81272 69176
delall \\?\C:\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\DOWNLOADPROXYPS.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\WECHAT.EXE
bl 255AA4A3D191E32C841DA4ED80993C38 5967928
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\WECHAT.EXE

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\VOIPENGINE.DLL
bl AD45A552B0F4ECB506037CFE02C8F688 2329144
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\VOIPENGINE.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\AVFORMAT-56.DLL
bl B1B203A41DDE1B29107E793E99FBEFA6 345144
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\AVFORMAT-56.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\AVCODEC-56.DLL
bl E2626F89FA11DBB6F1307282947832FA 1245240
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\AVCODEC-56.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\AVUTIL-54.DLL
bl 1B6F7C22139BF04C31E275C30E35BD54 358456
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\AVUTIL-54.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\SWSCALE-3.DLL
bl 5AB0F90A8578D13133885E9EE5A88545 444472
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\SWSCALE-3.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\SWRESAMPLE-1.DLL
bl AC96569A5A2E9CDA33D137C3D0368770 175160
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\SWRESAMPLE-1.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\WECHATRESOURCE.DLL
bl CE1583994251088959A3288403615A0C 5171256
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\WECHATRESOURCE.DLL

zoo %SystemDrive%\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ARKFS.DLL
bl B988856862166DADD9826B9FFA5308BD 76344
delall \\?\C:\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ARKFS.DLL

zoo %SystemDrive%\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ANDROIDDEVICE.DLL
bl 22C769F611100F0BB8B0C6D709494C46 329272
delall \\?\C:\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ANDROIDDEVICE.DLL

zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\UNINSTALL.EXE
bl A4E3FBB9BE6730A9BA6843279A1C45F9 548556
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\UNINSTALL.EXE

zoo %SystemDrive%\PROGRAM FILES\ZONA\ZONA.EXE
dirzooex %SystemDrive%\PROGRAM FILES\ZONA

delall HTTP://WWW.HAO123.COM/?TN=54066025_1_HAO_PG
czoo

areg

3) Деинсталируйте Zonа

4) Сделайте свежий образ автозапуска.

[Arizona Ranger]

Карантин и вложения
http://virusinfo.info/virusdetector/...6092AD0FB86464

[regist]

Карантин и вложения

во вложение его нет, да и нельзя во вложения. Читайте инструкцию до конца

6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)

- - - - -Добавлено - - - - -

+ советую удалить нежелательную программу Auslogics DiskDefrag

+ выполните скрипт uVS

Код:

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\DOWNLOADPROXYPS.DLL
bl 9DA51D4506BD094FBFC7D337338FC872 367480
delall %SystemDrive%\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\QQPHONEMANAGER\COMPONENTS\QQDOWNLOAD\EXTRACT.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\TENCENTDL.EXE
deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\
restart

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

- - - - -Добавлено - - - - -

+

• Откройте папку с распакованной утилитой uVS и запустите файл start.exe.
• Нажмите Запустить под текущим пользователем.
• Нажмите меню "Дополнительно" -> "Сбросить атрибуты для всех файлов/каталогов в..."
• В окне слева укажите букву диска с вашей флешкой.
• Нажмите "Выбрать".

[Arizona Ranger]

Прошу прощения, прислала карантин.
После выполнения последней инструкции на флэшке появилась папка FOUND.000, внутри файлы с расширением CHK

[regist]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Arizona Ranger]

Новый отчет

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

что с проблемой?

[Arizona Ranger]

Как только стала видна папка FOUND.000, восстановила оттуда почти все файлы с помощью программ chkRepair и CHKParser, спасибо!
Однако не удаляются файлы, которые видны на первом скриншоте. Форматирование поможет?

[regist]

Форматирование поможет?

думаю, да. Хотя возможно сбой электроники, тогда только флешку на выброс.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Arizona Ranger]

Большое спасибо за помощь и терпение!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 40
• В ходе лечения обнаружены вредоносные программы:
  
  1. \zona.exe._177dec7fbda2393acdf60cf82eb90b644124d10 a - not-a-virus:Downloader.Win32.Zona.a ( DrWEB: Program.Zona.80 )
  2. \zonaupdater.exe._3912e24ac3c1de6f5bb227f9f18d8f38 d7bc7c45 - not-a-virus:Downloader.Win32.Zona.b ( DrWEB: Program.Zona.80 )