Доброго времени суток.
На флэшке все файлы превратились с ярлыки, а названия - в символы. Очень хотелось бы восстановить содержимое.
Прошу помощи
Спасибо
[ATTACH=CONFIG]605223[/ATTACH]
Printable View
Доброго времени суток.
На флэшке все файлы превратились с ярлыки, а названия - в символы. Очень хотелось бы восстановить содержимое.
Прошу помощи
Спасибо
[ATTACH=CONFIG]605223[/ATTACH]
Уважаемый(ая) [B]Arizona Ranger[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
ProxyServer="http=127.0.0.1:3213;https=127.0.0.1:3213" - сами прописывали?
chrome remote desktop - сами ставили?
Чтобы отключить автозапуск вируса с флешек выполните скрипт
[CODE]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(false);
end.[/CODE]
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
[QUOTE]ProxyServer="http=127.0.0.1:3213;https=127.0.0.1:3 213" - сами прописывали? [/QUOTE]
Не совсем понимаю, что это значит, может быть связано с vpn? Ничего сама не прописывала
Chrome remote desktop ставила сама
[URL="http://virusinfo.info/virusdetector/report.php?md5=0AD22389E209ADBD9F47A29711417431"]http://virusinfo.info/virusdetector/report.php?md5=0AD22389E209ADBD9F47A29711417431[/URL]
1) Запустите этот файл и деинсталийте
[CODE]C:\PROGRAM FILES\TENCENT\WECHAT\UNINSTALL.EXE[/CODE]
2) [url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
sreg
dirzooex %SystemDrive%\PROGRAM FILES\MOBOGENIE
deldir %SystemDrive%\PROGRAM FILES\MOBOGENIE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\TENCENTDL.EXE
bl 92347A3335388FD8DE040B24E4B8A472 904760
delall \\?\C:\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\TENCENTDL.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\DOWNLOADPROXYPS.DLL
bl E9D54EF47FA2D4867533EAE934B81272 69176
delall \\?\C:\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\DOWNLOADPROXYPS.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\WECHAT.EXE
bl 255AA4A3D191E32C841DA4ED80993C38 5967928
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\WECHAT.EXE
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\VOIPENGINE.DLL
bl AD45A552B0F4ECB506037CFE02C8F688 2329144
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\VOIPENGINE.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\AVFORMAT-56.DLL
bl B1B203A41DDE1B29107E793E99FBEFA6 345144
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\AVFORMAT-56.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\AVCODEC-56.DLL
bl E2626F89FA11DBB6F1307282947832FA 1245240
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\AVCODEC-56.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\AVUTIL-54.DLL
bl 1B6F7C22139BF04C31E275C30E35BD54 358456
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\AVUTIL-54.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\SWSCALE-3.DLL
bl 5AB0F90A8578D13133885E9EE5A88545 444472
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\SWSCALE-3.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\SWRESAMPLE-1.DLL
bl AC96569A5A2E9CDA33D137C3D0368770 175160
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\SWRESAMPLE-1.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\WECHATRESOURCE.DLL
bl CE1583994251088959A3288403615A0C 5171256
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\WECHATRESOURCE.DLL
zoo %SystemDrive%\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ARKFS.DLL
bl B988856862166DADD9826B9FFA5308BD 76344
delall \\?\C:\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ARKFS.DLL
zoo %SystemDrive%\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ANDROIDDEVICE.DLL
bl 22C769F611100F0BB8B0C6D709494C46 329272
delall \\?\C:\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.460\ANDROIDDEVICE.DLL
zoo %SystemDrive%\PROGRAM FILES\TENCENT\WECHAT\UNINSTALL.EXE
bl A4E3FBB9BE6730A9BA6843279A1C45F9 548556
delall \\?\C:\PROGRAM FILES\TENCENT\WECHAT\UNINSTALL.EXE
zoo %SystemDrive%\PROGRAM FILES\ZONA\ZONA.EXE
dirzooex %SystemDrive%\PROGRAM FILES\ZONA
delall HTTP://WWW.HAO123.COM/?TN=54066025_1_HAO_PG
czoo
areg[/CODE]
3) Деинсталируйте Zonа
4) Сделайте свежий образ автозапуска.
Карантин и вложения
[URL="http://virusinfo.info/virusdetector/report.php?md5=CA040833929B19E7CD6092AD0FB86464"]http://virusinfo.info/virusdetector/report.php?md5=CA040833929B19E7CD6092AD0FB86464[/URL]
[quote="Arizona Ranger;1340204"]Карантин и вложения[/quote]
во вложение его нет, да и нельзя во вложения. Читайте инструкцию до конца [QUOTE][b]6. [/b] Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем [color=Red]virus[/color] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)[/QUOTE]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ советую удалить нежелательную программу Auslogics DiskDefrag
+ выполните скрипт uVS
[CODE];uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\DOWNLOADPROXYPS.DLL
bl 9DA51D4506BD094FBFC7D337338FC872 367480
delall %SystemDrive%\USERS\НУРИЯ\APPDATA\ROAMING\TENCENT\QQPHONEMANAGER\COMPONENTS\QQDOWNLOAD\EXTRACT.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\125\TENCENTDL.EXE
deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\
restart[/CODE]
+ [LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ [LIST][*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B].[*]Нажмите [i]Запустить под текущим пользователем[/i].[*] Нажмите меню "Дополнительно" -> "Сбросить атрибуты для всех файлов/каталогов в..." [*] В окне слева укажите [B]букву диска с вашей флешкой[/B].[*] Нажмите "Выбрать".[/LIST]
Прошу прощения, прислала карантин.
После выполнения последней инструкции на флэшке появилась папка FOUND.000, внутри файлы с расширением CHK
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончании сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Новый отчет
[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]
что с проблемой?
Как только стала видна папка FOUND.000, восстановила оттуда почти все файлы с помощью программ chkRepair и CHKParser, спасибо!
Однако не удаляются файлы, которые видны на первом скриншоте. Форматирование поможет?
[quote="Arizona Ranger;1340344"]Форматирование поможет?[/quote]
думаю, да. Хотя возможно сбой электроники, тогда только флешку на выброс.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Большое спасибо за помощь и терпение!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]40[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \zona.exe._177dec7fbda2393acdf60cf82eb90b644124d10a - [B]not-a-virus:Downloader.Win32.Zona.a[/B] ( DrWEB: Program.Zona.80 )[*] \zonaupdater.exe._3912e24ac3c1de6f5bb227f9f18d8f38d7bc7c45 - [B]not-a-virus:Downloader.Win32.Zona.b[/B] ( DrWEB: Program.Zona.80 )[/LIST][/LIST]