файлы на флешке становятся ярлыками

[Вячеслав__]

Некоторые файлы на флэшке перестают существовать, вместо них появляются одноименные ярлыки с ссылкой на обьект:
"C:\Windows\System32\cmd.exe /C start ntuser.ini & start paint.exe"
в папке появляется файл ntuser.ini;
и в корневой папке флешки появляется ярлык с именем "System Volume Information" с прописаным путем:
"C:\Windows\System32\cmd.exe /C start ntuser.ini"
удаление и поиск антивирусом не помогает.

[Info_bot]

Уважаемый(ая) Вячеслав__, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\User\PowerModule.exe','');
  QuarantineFile('C:\Users\User\AppData\Roaming\xjd59ll.exe','');
  QuarantineFile('C:\Users\User\AppData\Roaming\WPB39lYEkbMeNFm2jQeBewa.exe','');
  QuarantineFile('C:\Users\User\AppData\Roaming\jZLxkmZv.exe','');
  QuarantineFile('C:\Users\User\AppData\Roaming\hCrafQ4L3762kw58K2Ll.exe','');
  QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk','');
  QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
  QuarantineFile('C:\ProgramData\ZaAExMvv\cSoNYncD5.bat','');
  QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk','');
  QuarantineFile('C:\ProgramData\RdDIlQuVIoNdjnM\vMKRWAdX0.bat','');
  QuarantineFile('C:\Users\User\PowerShellUpdate\PowerModule.exe','');
  QuarantineFile('C:\Program Files (x86)\Oursoft\PQeeHn.exe','');
  DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk');
  DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk');
  DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk');
  DeleteFile('C:\Users\User\PowerShellUpdate\PowerModule.exe','32');
  DeleteFile('C:\ProgramData\RdDIlQuVIoNdjnM\vMKRWAdX0.bat','32');
  DeleteFile('C:\ProgramData\ZaAExMvv\cSoNYncD5.bat','32');
  DeleteFile('C:\Users\User\AppData\Roaming\hCrafQ4L3762kw58K2Ll.exe','32');
  DeleteFile('C:\Windows\Tasks\hCrafQ4L3762kw58K2Ll.job','32');
  DeleteFile('C:\Users\User\AppData\Roaming\jZLxkmZv.exe','32');
  DeleteFile('C:\Windows\Tasks\jZLxkmZv.job','32');
  DeleteFile('C:\Windows\Tasks\Uninstaller_SkipUac_User.job','32');
  DeleteFile('C:\Users\User\AppData\Roaming\WPB39lYEkbMeNFm2jQeBewa.exe','32');
  DeleteFile('C:\Windows\Tasks\WPB39lYEkbMeNFm2jQeBewa.job','32');
  DeleteFile('C:\Users\User\AppData\Roaming\xjd59ll.exe','32');
  DeleteFile('C:\Windows\Tasks\xjd59ll.job','32');
  DeleteFile('C:\Windows\system32\Tasks\hCrafQ4L3762kw58K2Ll','64');
  DeleteFile('C:\Windows\system32\Tasks\jZLxkmZv','64');
  DeleteFile('C:\Windows\system32\Tasks\PowerShellUpdate','64');
  DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_User','64');
  DeleteFile('C:\Users\User\PowerModule.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\UserModuleUpdate','64');
  DeleteFile('C:\Windows\system32\Tasks\WPB39lYEkbMeNFm2jQeBewa','64');
  DeleteFile('C:\Windows\system32\Tasks\xjd59ll','64');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PowerShellUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Вячеслав__]

новые файлы

[mrak74]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Вячеслав__]

отчет

[mrak74]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Вячеслав__]

отчет

[mrak74]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Вячеслав__]

отчет

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-697672566-2322185500-1669710931-1001\...\MountPoints2: {054b12f2-0cee-11e5-829c-a4db30939ff2} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL G:\autorun.exe /auto
  HKU\S-1-5-21-697672566-2322185500-1669710931-1001\...\MountPoints2: {ad324e9e-66cd-11e6-82de-201a061a3bff} - "F:\HTC_Sync_Manager_PC.exe" 
  HKU\S-1-5-21-697672566-2322185500-1669710931-1001\...\MountPoints2: {ded49795-6a58-11e6-82de-201a061a3bff} - "F:\HTC_Sync_Manager_PC.exe" 
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  BHO-x32: gFlash Class -> {F156768E-81EF-470C-9057-481BA8380DBA} -> C:\Program Files (x86)\FlashGet\getflash.dll [2006-09-12] ()
  DefaultPrefix-x32: =>  <==== ATTENTION
  CHR HKU\S-1-5-21-697672566-2322185500-1669710931-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
  Task: {250B59E2-C673-4567-AE7B-D4DFA787C350} - \UserModuleUpdate -> No File <==== ATTENTION 
  Task: {FEF72347-5208-47DE-949C-B6889F1D151B} - \PowerShellUpdate -> No File <==== ATTENTION
  HKLM\...\StartupApproved\Run32: => "gmsd_re_253"
  HKLM\...\StartupApproved\Run32: => "gmsd_re_256"
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Вячеслав__]

фикслог

[mrak74]

Что с проблемой ?

[Вячеслав__]

на флешках ничего не изменилось, так же вместо некоторых файлов ярлыки, присутствует файл ntuser.ini;
и в корневой папке флешки ярлык "System Volume Information"
прогрессирует или нет - не могу оценить

[mrak74]

на флешках ничего не изменилось, так же вместо некоторых файлов ярлыки, присутствует файл ntuser.ini;и в корневой папке флешки ярлык "System Volume Information" прогрессирует или нет - не могу оценить

ярлык "System Volume Information" , - ярлык или папка ?

[Вячеслав__]

ярлык с иконкой папки

[mrak74]

Правой кнопкой по System Volume Information, - Свойства , сделайте скриншот свойства папки - ярлыка. Покажите картинку скриншота.

Сделайте лог полного сканирования MBAM

[Вячеслав__]

лог и скрин

[mrak74]

Удалите только указанные параметры:

Код:

PUP.Optional.ContentDefender, C:\AdwCleaner\Quarantine\C\Program Files\Content Defender\cd.exe.vir, , [90ad0e8ed3c7bc7afa685ecc5ba6728e], 
PUP.Optional.ContentDefender, C:\AdwCleaner\Quarantine\C\Program Files\Content Defender\ConDefSetup.exe.vir, , [023b0f8dfaa0a69077eb6cbe11f0a35d], 
PUP.Optional.ContentDefender, C:\AdwCleaner\Quarantine\C\Program Files\Content Defender\ContentDefenderControl.exe.vir, , [fa439903cdcd68ce065cda506899728e], 
PUP.Optional.Amonetize, C:\AdwCleaner\Quarantine\C\Program Files (x86)\Oursoft\PQeeHn.exe.vir, , [e25bc8d4c0da42f4bb46593e53aeae52], 
Adware.HPDefender, C:\AdwCleaner\Quarantine\C\Program Files (x86)\Oursoft\uninstall.exe.vir, , [6fce5e3e68323cfa36c7435d3cc5f10f], 
Adware.MoboGenie, C:\Users\Public\Documents\GenieSoft\Common\Cef\1.0.0\CrashReport.exe, , [6ad30e8edac0be7887515459ca37de22],

Если удалить все лишние файлы с флешки и использовать ее только на этом компьютере, файлы снова появляются ?

[Вячеслав__]

да, снова появляются. в тех же самых папках

- - - - -Добавлено - - - - -

появляются не сразу, где то на 5 раз после того как вытащить-вставить флешку