На флешке появился архив этой же флешки

Printable View

15.03.2017, 21:18
follow18

На флешке появился архив этой же флешки

вирус, каспер его не видит
15.03.2017, 21:21
Info_bot

Уважаемый(ая) [B]follow18[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.03.2017, 21:30
follow18

Вложений: 1

логи
16.03.2017, 20:00
Vvvyg

Плохого не видно. Что за архив, разово появился, или повторяется ситуация?
16.03.2017, 20:09
follow18

Появился разово. Все файлы внутри. Если залазить в свойства, то в конце пути идет расширение .vbs. При этом получить данные с флешки можно только на том компе, откуда залез вирус. На других устройствах архив не открывается.
16.03.2017, 20:44
Vvvyg

Логи сделаны там, "откуда залез вирус"?
16.03.2017, 21:16
follow18

нет, логи сделаны с другого компа + подключенным носителем с вирусом
16.03.2017, 21:19
Vvvyg

Понятно тогда, что не видно ничего. Делайте на "больном".
17.03.2017, 20:52
follow18

Вложений: 1

логи

логи с зараженного компа
17.03.2017, 21:09
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\DETER177\lsass.exe', '');
QuarantineFile('C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs', '');
DeleteFile('C:\Windows\System32\DETER177\lsass.exe', '32');
DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk', '32');
DeleteFile('C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs', '32');
DeleteFileMask('C:\Windows\System32\DETER177', '*', true);
DeleteFileMask('C:\Users\User\AppData\Roaming\WindowsServices', '*', true);
DeleteDirectory('C:\Windows\System32\DETER177');
DeleteDirectory('C:\Users\User\AppData\Roaming\WindowsServices');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(10);
ExecuteRepair(16);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).