-
Junior Member
- Вес репутации
- 49
Флешко-плеерный вирус...(Папки на флешке превратились в ярлыки-2)
Здравствуйте !
Увидел похожую проблему в теме немного ниже, но поскольку там не особенно, создал с позволения, новую тему, надеюсь по правилам.
Дело было так:
имеется МП3 плеер Samsung YP-U3 , естесно используется иногда как флешка. После того, как вчера побывал в чужом компе, когда выходишь музыкальную опцию - пишет что нет файлов. Когда воткнул его в комп - все папки превратились в ярлыки (на сами себя), прошёлся Dr.Web CureIt, он в плеере (и в компе) нашёл троянцев - избавился, вроде как. Но в самом плеере (флешке) ничего не изменилось, кроме того что ,насколько я понимаю пиктограмма вирусного файла стала другой..(буква С в красном квадрате).
Помогите пожалуйста! (мне очень важно излечить плеер/флешку)
С Уважением, Константин
Последний раз редактировалось Konsta777; 12.06.2011 в 10:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Konsta777, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ubrery.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Kbrero.exe','');
QuarantineFile('d:\soft_drivers\shop\csdata\1000000600002i\svchost.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Kbrero.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Ubrery.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ubrery');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kbrero');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи без работающего CureIt
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Спасибо за отзыв !
Скрипт выполнил, карантин - отослал по ссылке.
Вот пожалуйста - логи без работающего CureIt тоже прикрепил (вроде без работающего - я утилитой пользовался, после перезагрузки скриптом AVZ CureIt не запускал ).
-
Junior Member
- Вес репутации
- 49
Пардон, вот ещё два лога AVZ, если если требуется
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
А, сори я недопонял.
Комп работает нормально (до этого во время перезагрузки выскакивала ошибка "память обратилась дута-то и т.п - сейчас вроде бы нет).
А плеер флешка:
Файл ауторана изчез, но папки все равно остались в виде ярлыков, осталась полупрозрачная стрёмная папка с помоему-вирусом самим (её до зражения не было кажется, по крайней мере я не помню чтобы она была), и появился текстовой файлик "BOOTEX" с таким текстом:
Checking file system on H:
The type of the file system is FAT32.
One of your disks needs to be checked for consistency. You
may cancel the disk check, but it is strongly recommended
that you continue.
Windows will now check the disk.
Volume Serial Number is 9C7E-70A7
Convert lost chains to files (Y/N)? Yes
6295552 bytes in 2 recovered files.
Windows has made corrections to the file system.
983330816 bytes total disk space.
245760 bytes in 6 hidden files.
4096 bytes in 1 folders.
33579008 bytes in 17 files.
949497856 bytes available on disk.
4096 bytes in each allocation unit.
240071 total allocation units on disk.
231811 allocation units available on disk.
Если я щёлкаю на ярылык (который раньше был папкой), он открывается в новом окне, попробовал удалить из тома (путём перемещения ) эту стремную папку "RECYCLER" , если это сделать, то ярлыки/папки не открываются. Если попытаться посмотреть путь файла, отсылает к C:\WINDOWS\system32 к файлу "cmd" - мол, там папка находится...плеер работает - только муз файлы не видит
(как и было после заражения). Dr.Web CureIt не находит вируса...
Скриншот прилагаю ниже. (том H - флешка/плеер)
-
Выполните скрипт в AVZ
Код:
begin
ExecuteREpair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Настоящие папки скорее всего стали скрытыми (можно проверить в Total Commander, например)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Скрипт выполнил, комп перезагрузился.
Посмотрел через тотал командер - действительно, истинные папки видно только через него...причем, на них стоит красный восклицательный знак...а как можно все восстановить, не подскажете ? А то не хотелось бы перепрошивать и т.д, я в этом полный ноль...
Добавлено через 34 минуты
УРААА !
Осталось только было снять атрибуты скрытых и системных папок через тотал командер, и удалить ненужные остатки ярлыков и папку RECYCLER, и всё вернулось на круги своя !! Нашёл ВОТ ТУТ как это сделать.
Огромное спасибо thyrex за помощь !!!
Последний раз редактировалось Konsta777; 13.06.2011 в 11:57.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\kbrero.exe - Backdoor.Win32.Ruskill.ei ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.KDV.249384, AVAST4: Win32:Renos-ASA [Trj] )
-