На ВСЕХ флешках файлы заменяются ярлыками. [Trojan-Proxy.Win32.Lethic.cxg, Trojan-Proxy.Win32.Lethic.cxl ]

[kirillztw]

Добрый вечер. Какую бы я не вставил флешку в свой компьютер все файлы превращаются в ярлыки. Пробую форматировать флешку и записывать на ее новые файлы, но снова становятся ярлыками

[Info_bot]

Уважаемый(ая) kirillztw, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS189.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS1098f9.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10989.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10981fg9.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10981fdg9.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10981f9.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS1089.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS7.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS6.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS5.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS4.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS3.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS1.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\QgBvhieXlS0.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\alFSVWJB\write.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Ltusud.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Identities\Cuusuu.exe','');
 QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\ProgramData\bett2f002\xslpjdynn.exe','');
 QuarantineFile('C:\PROGRA~3\msmxdnol.exe','');
 TerminateProcessByName('c:\users\Пользователь\appdata\roaming\alfsvwjb\write.exe');
 QuarantineFile('c:\users\Пользователь\appdata\roaming\alfsvwjb\write.exe','');
 DeleteFile('c:\users\Пользователь\appdata\roaming\alfsvwjb\write.exe','32');
 DeleteFile('C:\PROGRA~3\msmxdnol.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2754007240');
 DeleteFile('C:\ProgramData\bett2f002\xslpjdynn.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','A389738738732');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QfBvhieXlS0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','QfBvhieXlS0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fBvhieXlS1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','fBvhieXlS1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fBvhieXlS2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','fBvhieXlS2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fBvhieXlS3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','fBvhieXlS3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','fBvhieXlS4');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fBvhieXlS4');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fBvhieXlS5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fBvhieXlS6');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','fBvhieXlS6');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fBvhieXlS7');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','fBvhieXlS7');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieXlS1089');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hieXlS1089');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieXlS10f9289');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hieXlS10f9289');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieXlS10f9fd289');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hieXlS10f9fd289');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieXlS10f9f289');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hieXlS10f9f289');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieXlS10989');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hieXlS10989');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieXlS10f989');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hieXlS10f989');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieXlS189');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','hieXlS189');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Identities\Cuusuu.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cuusuu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ltusud');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Ltusud.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\ScreenSaverPro.scr','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','write.exe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\alFSVWJB\write.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\QgBvhieXlS0.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS1.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS2.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS3.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS4.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS5.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS6.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\gBvhieXlS7.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS1089.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10981f9.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10981fdg9.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10981fg9.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS10989.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS1098f9.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\hieXlS189.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x05860166','64');
ExecuteSysClean;
ExecuteRepair(9);
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ!

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[kirillztw]

сделал все как вы сказали, проблема осталась. полностью форматировал флешку, записал несколько песен, извлек/вставил флешку и песни снова стали ярлыками

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Пользователь\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Ltusud.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Identities\Cuusuu.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186176712\xidrrgtvvd1.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186176712\vg1c211vv12.exe','');
 QuarantineFile('C:\ProgramData\bett2f002\xslpjdynn.exe','');
 DeleteFile('C:\ProgramData\bett2f002\xslpjdynn.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186176712\vg1c211vv12.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186176712\xidrrgtvvd1.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Identities\Cuusuu.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Ltusud.exe','32');
 DeleteFile('C:\Users\Пользователь\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\Пользователь\appdata\roaming\screensaverpro.scr','32');
 RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');   
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2754007240');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','A389738738732');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vc2111ev5t1c');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','altyfrtvxmxf4c');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','altyfrtvxmxf4c');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','vc2111ev5t1c');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ltusud');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cuusuu');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[kirillztw]

вроде помогло. а как быть с файлами на флешках, которые превратились в ярлыки ?
по одному из советов я в свойствах папок убрал галочку - скрыть системные файлы, на флешке появились мои скрытые файлы,песни, папки и т.п. потом я удалил все ярлыки и не известные файлы с exe расширением и потом мне знакомые сделал бат файл с кодом
@echo off
mode con codepage select=1251 > nul
echo Please wait...
attrib -s -h -r -a /s /d
и я его запистил на всех флешках чтобы файлы стали обычные ( не скрытые)
этого будет достаточно ?

[mike 1]

Удалите в MBAM все найденное.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 18
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\bett2f002\xslpjdynn.exe - Trojan.Win32.Neurevt.dav ( AVAST4: Win32:Crypt-RXI [Trj] )
  2. c:\progra~3\msmxdnol.exe - Backdoor.Win32.Androm.gmaq
  3. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\gbvhiexls1.exe - Trojan-Proxy.Win32.Lethic.cxl ( AVAST4: Win32:Crypt-RXJ [Trj] )
  4. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\gbvhiexls2.exe - Trojan-Proxy.Win32.Lethic.cxn ( AVAST4: Win32:Crypt-RXJ [Trj] )
  5. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\gbvhiexls3.exe - Trojan-Proxy.Win32.Lethic.cxm ( AVAST4: Win32:Malware-gen )
  6. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\gbvhiexls4.exe - Backdoor.Win32.Androm.glyl ( AVAST4: Win32:Crypt-RXJ [Trj] )
  7. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\gbvhiexls5.exe - Backdoor.Win32.Androm.glym ( AVAST4: Win32:Crypt-RXJ [Trj] )
  8. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\gbvhiexls6.exe - Trojan-Proxy.Win32.Lethic.cxo ( AVAST4: Win32:Crypt-RXJ [Trj] )
  9. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\gbvhiexls7.exe - Trojan-Proxy.Win32.Lethic.cxp ( AVAST4: Win32:Crypt-RXJ [Trj] )
  10. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls1089.exe - Worm.Win32.Ngrbot.angf ( AVAST4: Win32:Crypt-RXJ [Trj] )
  11. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls1098f9.exe - Backdoor.Win32.Androm.gltx ( AVAST4: Win32:Crypt-RXJ [Trj] )
  12. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls10981fdg9.exe - Backdoor.Win32.Androm.glty ( AVAST4: Win32:Crypt-RXJ [Trj] )
  13. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls10981fg9.exe - Trojan-Proxy.Win32.Lethic.cxh ( AVAST4: Win32:Crypt-RXJ [Trj] )
  14. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls10981f9.exe - Trojan-Proxy.Win32.Lethic.cxf ( AVAST4: Win32:Crypt-RXJ [Trj] )
  15. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls10989.exe - Trojan-Proxy.Win32.Lethic.cxi ( AVAST4: Win32:Crypt-RXJ [Trj] )
  16. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls189.exe - Trojan-Proxy.Win32.Lethic.cxg ( AVAST4: Win32:Crypt-RXJ [Trj] )
  17. c:\recycler\s-1-5-21-0243556031-888888379-781862338-1861771\qgbvhiexls0.exe - Backdoor.Win32.Androm.glyn ( AVAST4: Win32:Crypt-RXJ [Trj] )
  18. c:\users\73b5~1\appdata\local\temp\adobe\reader_sl .exe - Worm.Win32.Ngrbot.anhn