-
Junior Member
- Вес репутации
- 47
Папки превратились в ярлыки
Здравствуйте. Проблема аналогична http://virusinfo.info/showthread.php...F0%EB%FB%EA%E8
Все папки превратились в ярлыки на съемном жестком диске.
На запуск ярлыка стоит команда
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\f4448e25.exe &&%windir%\explorer.exe %cd%psp
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Abigore, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8jpxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7cixx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6ekxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4yfxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1cixx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1cixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3syxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6ekxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7cixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8jpxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati1cixx');
BC_DeleteSvc('ati1pvxx');
BC_DeleteSvc('ati3syxx');
BC_DeleteSvc('ati4yfxx');
BC_DeleteSvc('ati6ekxx');
BC_DeleteSvc('ati7cixx');
BC_DeleteSvc('ati8jpxx');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 47
quarantine.zip отправлен. Вот логи
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Нужно сделать на всю систему проверку или достаточно только на съемный жесткий? Просто один только диск С уже больше 7 часов проверяется...
-
Junior Member
- Вес репутации
- 47
-
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
Зараженные файлы:
d:\matlab 6.5 portable\Stubs\d86240d533482dfd16f461dbb221ba6ad0c638\svchost.exe (Trojan.Backdoor) -> No action taken.
h:\system volume information\_restore{d22fc2ea-ac5a-4ff6-b892-3f729808bab8}\RP12\A0004201.exe (Riskware.Tool.CK) -> No action taken.
h:\system volume information\_restore{d22fc2ea-ac5a-4ff6-b892-3f729808bab8}\RP12\A0004203.exe (RiskWare.Tool.CK) -> No action taken.
h:\system volume information\_restore{d22fc2ea-ac5a-4ff6-b892-3f729808bab8}\RP12\A0004734.exe (RiskWare.Tool.CK) -> No action taken.
h:\system volume information\_restore{d22fc2ea-ac5a-4ff6-b892-3f729808bab8}\RP8\A0003906.exe (Riskware.Tool.CK) -> No action taken.
h:\system volume information\_restore{d22fc2ea-ac5a-4ff6-b892-3f729808bab8}\RP8\A0003907.exe (RiskWare.Tool.CK) -> No action taken.
-
-
Junior Member
- Вес репутации
- 47
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Все так же, ничего не изменилось (
-
Настоящие папки стали скрытыми. В этом можно убедиться, например, в Total Commander с включенной опцией показа скрытых файлов и папок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Ну да, они скрыты, но с них невозможно снять атрибут "скрытый"
-
В Total Commander выберите Файлы - Изменить атрибуты
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-