Ярлыки на флешке

Printable View

08.08.2016, 11:47
Алексей Великородов

Вложений: 3

Ярлыки на флешке

Поймали вирус, при подключении флешки создаются ярлыки на флешке с именами папок, а папки пропадают. Сначала думали делает скрытыми эти папки, поставили галочку показывать скрытые, но папки не появились, при попытки записать папку на флешку - пишет что такая папку существует, заменить ? и так с каждой флешкой, помогите! вебом и авз сканировали, но проблема осталась, логи крепим.
08.08.2016, 11:48
Info_bot

Уважаемый(ая) [B]Алексей Великородов[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.08.2016, 15:06
Алексей Великородов

поставил показывать скрытые системные папки и файлы на флешке появились с атрибутом скрытый и атрибут неактивный, нельзя снять галочку "скрытый", как быть?
09.08.2016, 07:23
Vvvyg

[B]Обновите базы AVZ[/B] ("Файл" -> "Обновление баз").

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\user\local settings\application data\mail.ru\mailruupdater.exe');
TerminateProcessByName('c:\program files\mail.ru\mailruupdater\mailruupdater.exe');
TerminateProcessByName('c:\program files\mail.ru\update service\mrupdsrv.exe');
StopService('mrupdsrv');
StopService('Updater.Mail.Ru');
QuarantineFileF('c:\documents and settings\all users\application data\microsoft\adobe\flash player\d5b3886d-57e3-4939-814e-b0d2e6e8abd9', '*', true, '', 0 , 0);
QuarantineFileF('c:\documents and settings\user\local settings\application data\microsoft\extensions', '*', true, '', 0 , 0);
QuarantineFile('c:\documents and settings\user\local settings\application data\mail.ru\mailruupdater.exe', '');
QuarantineFile('c:\program files\mail.ru\mailruupdater\mailruupdater.exe', '');
QuarantineFile('c:\program files\mail.ru\update service\mrupdsrv.exe', '');
QuarantineFile('C:\Documents and Settings\USER\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '');
QuarantineFile('C:\Program Files\Common Files\6213CC31-7C44-4068-952A-ED4CF6050DD5\EFDCFC7B-9BF1-4615-9F8C-18F854591F57.exe', '');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\D5B3886D-57E3-4939-814E-B0D2E6E8ABD9\163A9920-BDAB-430E-A7B4-AB3C6C3753BC.exe', '');
DeleteFile('c:\documents and settings\user\local settings\application data\mail.ru\mailruupdater.exe', '32');
DeleteFile('c:\program files\mail.ru\mailruupdater\mailruupdater.exe', '32');
DeleteFile('c:\program files\mail.ru\update service\mrupdsrv.exe', '32');
DeleteFile('C:\Documents and Settings\USER\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '32');
DeleteFile('C:\Program Files\Common Files\6213CC31-7C44-4068-952A-ED4CF6050DD5\EFDCFC7B-9BF1-4615-9F8C-18F854591F57.exe', '32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\D5B3886D-57E3-4939-814E-B0D2E6E8ABD9\163A9920-BDAB-430E-A7B4-AB3C6C3753BC.exe', '32');
DeleteService('mrupdsrv');
DeleteService('Updater.Mail.Ru');
DeleteFileMask('c:\documents and settings\user\local settings\application data\mail.ru', '*', true);
DeleteFileMask('c:\program files\mail.ru', '*', true);
DeleteFileMask('c:\documents and settings\user\local settings\application data\microsoft\extensions', '*', true);
DeleteFileMask('c:\program files\common files\6213cc31-7c44-4068-952a-ed4cf6050dd5', '*', true);
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe', '*', true);
DeleteDirectory('c:\documents and settings\user\local settings\application data\mail.ru');
DeleteDirectory('c:\program files\mail.ru');
DeleteDirectory('c:\program files\common files\6213cc31-7c44-4068-952a-ed4cf6050dd5');
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe');
ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\MailRuUpdater.job" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'D5B3886D-57E3-4939-814E-B0D2E6E8ABD9');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'AppDownloads');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657]сканирования МВАМ[/url] с подключённой флэшкой.
09.08.2016, 14:05
Алексей Великородов

Вложений: 2

прикрепил
09.08.2016, 20:48
Vvvyg

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM[/url] всё найденное.
Сообщите, что с проблемой.
10.08.2016, 11:30
Алексей Великородов

на компьютере и флешке остались папки с галочкой "скрытый", снять галочку нельзя, т.к атрибут не активный
10.08.2016, 12:12
regist

Скопируйте следующий текст в Блокнот и сохраните, как [B]run.bat[/B]:
[CODE]attrib "*" -s -h /S /D[/CODE]
скопируйте файл run.bat в корень флешки и запустите
[B]Внимание [U]не запускайте этот файл[/U], когда он находится на жестком диске.[/B]
10.08.2016, 20:27
Vvvyg

Причём, запустите через правую кнопку мыши [B]Запуск от имени администратора[/B].

А какие именно папки с атрибутом "Скрытый"?
10.08.2016, 20:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]