После команды regedit редактор реестра открывается и сразу же закрывается. На флеш картах вместо папок появляются ярлыки которые невозможно удалить. Как запретить автозапуск с флеш носителей.
После команды regedit редактор реестра открывается и сразу же закрывается. На флеш картах вместо папок появляются ярлыки которые невозможно удалить. Как запретить автозапуск с флеш носителей.
Последний раз редактировалось Иван Маркелов; 30.04.2015 в 18:01.
Уважаемый(ая) Иван Маркелов, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\rm-29\appdata\roaming\c731200',''); QuarantineFile('C:\Users\rm-29\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\rm-29\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\rm-29\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\rm-29\AppData\Roaming\Windows Live\ughuhketln.exe',''); QuarantineFile('C:\Users\rm-29\AppData\Roaming\Microsoft\Windows\themes\Vcekef.exe',''); QuarantineFile('C:\Users\rm-29\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Photo.exe',''); QuarantineFile('C:\Users\rm-29\AppData\Roaming\Images\imаges.exe',''); DeleteFile('C:\Users\rm-29\AppData\Roaming\Images\imаges.exe','32'); DeleteFile('C:\Users\rm-29\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Photo.exe','32'); DeleteFile('C:\Users\rm-29\AppData\Roaming\Microsoft\Windows\themes\Vcekef.exe','32'); DeleteFile('C:\Users\rm-29\AppData\Roaming\Windows Live\ughuhketln.exe','32'); DeleteFile('C:\Users\rm-29\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\rm-29\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\rm-29\AppData\Roaming\WindowsUpdate\Updater.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vcekef','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Find','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Coin','command'); DeleteFile('C:\Windows\system32\Tasks\Windows Updater','32'); DeleteFile('C:\Users\rm-29\appdata\roaming\c731200','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новые логи. Основная проблема состоит в том, что на предприятии вирус распространяется флеш-носителями. Каким образом можно предохраниться от последующего заражения?
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вложил лог mbam. Заметил еще одну интересную вещь, компьютер начал тормозить, я обратил внимание что все вычислительные мощности задействованы по максимуму, хотя никаких программ не открыто. Во время сканирования Malwarebytes Anti-Malware, программа обнаружила несколько файлов exe типа BitCoinMiner, судя по всему, они и нагрузили комп. Сам ковырять и удалять ничего не стал, жду вашей помощи.
Удалите в МВАМ всё, кроме
Код:PUP.Riskware.Patcher, C:\Users\rm-29\Downloads\Movavi Video Converter 15.2.1 + Portable\Patch-MPT.exe, , [259a5919127886b0324358e6c53cc43c], PUP.PSWTool.ProductKey, C:\Activators\KMSAuto Pro 1.25.1 Portable\bin\pdk.dll, , [7748482ac8c294a2d00d88ff08f8ae52], Hacktool.Agent, C:\Activators\Windows Loader 2.2.2 by Daz\Windows Loader.exe, , [9f20c8aa365430062bd45d1ef809619f],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил. Помогло, редактор реестра открывается, ярлыки не появляются. Спасибо. Но как предохранить компьютер от заражения с флеш-носителей? И как лечить сами носители?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\users\rm-29\appdata\roaming\c731200 - Worm.Win32.Ngrbot.aoyu ( AVAST4: Win32:Malware-gen )
- c:\users\rm-29\appdata\roaming\images\imаges.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xou ( BitDefender: Trojan.Generic.12071848 )
- c:\users\rm-29\appdata\roaming\microsoft\windows\start menu\programs\photo.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.11948, AVAST4: Win32:Trojan-gen )
- c:\users\rm-29\appdata\roaming\microsoft\windows\themes\vcekef .exe - Worm.Win32.Ngrbot.aoyu ( AVAST4: Win32:Malware-gen )
- c:\users\rm-29\appdata\roaming\windows live\ughuhketln.exe - Trojan-Ransom.Win32.Foreign.mhjv ( AVAST4: Win32:Malware-gen )
- c:\users\rm-29\appdata\roaming\windowsupdate\live.exe - Trojan-Ransom.Win32.Foreign.mhjv ( AVAST4: Win32:Malware-gen )
- c:\users\rm-29\appdata\roaming\windowsupdate\msupdate.exe - Trojan-Ransom.Win32.Foreign.mhjw ( AVAST4: Win32:Malware-gen )
- c:\users\rm-29\appdata\roaming\windowsupdate\updater.exe - Worm.Win32.Ngrbot.aoyu ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) Иван Маркелов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.