[h=2]В каждой папке создаются ярлыки My Music и с названием Папки в которой находишься[/h] Windows 7 32bit
На комьютере есть три диска c,d,e, и во всех папках этот вирус
[h=2]В каждой папке создаются ярлыки My Music и с названием Папки в которой находишься[/h] Windows 7 32bit
На комьютере есть три диска c,d,e, и во всех папках этот вирус
Уважаемый(ая) [B]nibblex[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
У вас установлено ПО от компаний;
- softexpro Expert Home (ПРОГРАММА ДЛЯ СКРЫТОГО СЛЕЖЕНИЯ ЗА КОМПЬЮТЕРОМ ЧЕРЕЗ ИНТЕРНЕТ),
- Mail.RU.
Если вы им не пользуетесь, - удалите его штатными средствами Windows.
Пофиксите в [url=https://virusinfo.info/showthread.php?t=4491]HiJackThis[/url].
[code]
O4 - Global User Startup: Google Chrome.lnk -> C:\Windows\system32\cmd.exe /c start C:\GoogleChrome\GoogleChrome.exe C:\GoogleChrome\GoogleChrome.a3x & exit
O4 - Global User Startup: GoogleUpdate.lnk -> C:\GoogleChrome\GoogleChrome.exe /AutoIt3ExecuteScript C:\GoogleChrome\GoogleChrome.a3x
O4 - HKCU\..\Run: [AdopeFlash] C:\GoogleChrome\GoogleChrome.exe /AutoIt3ExecuteScript C:\GoogleChrome\GoogleChrome.a3x
O4 - HKCU\..\Run: [AdopeUpdate] C:\GoogleChrome\GoogleUpdate.lnk
O4 - HKCU\..\Run: [Google Chrome] C:\GoogleChrome\WindowsUpdate.lnk
O4 - HKCU\..\Run: [amigo] C:\Users\nibble\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
O4 - HKLM\..\Run: [Google Chrome] C:\GoogleChrome\WindowsUpdate.lnk
O4 - HKLM\..\Run: [JavaUpdate] C:\GoogleChrome\GoogleUpdate.lnk
O4 - HKLM\..\Run: [NewJavaInstall] C:\GoogleChrome\GoogleChrome.exe /AutoIt3ExecuteScript C:\GoogleChrome\GoogleChrome.a3x
O4 - MSConfig\startupreg: [amigo] C:\Users\nibble\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2016/08/26)
[/code]
Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('C:\GoogleChrome\GoogleChrome.exe');
QuarantineFileF('C:\MozillaFirefox', '*', true, ' ', 0, 0);
QuarantineFileF('C:\GoogleChrome', '*', true, ' ', 0, 0);
QuarantineFile('C:\GoogleChrome\WindowsUpdate.lnk','');
QuarantineFile('C:\GoogleChrome\GoogleUpdate.lnk','');
QuarantineFile('C:\GoogleChrome\GoogleChrome.a3x','');
QuarantineFile('C:\GoogleChrome\GoogleChrome.exe','');
QuarantineFile('C:\ProgramData\ProgramData.lnk','');
QuarantineFile('C:\ProgramData\My Music.lnk','');
QuarantineFile('C:\Windows\Windows.lnk','');
QuarantineFile('C:\Windows\My Music.lnk','');
QuarantineFile('C:\Program Files\Program Files.lnk','');
QuarantineFile('C:\Program Files\My Music.lnk','');
DeleteFileMask('C:\GoogleChrome','*',true);
DeleteDirectory('C:\GoogleChrome');
DeleteFileMask('C:\MozillaFirefox','*',true);
DeleteDirectory('C:\MozillaFirefox');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\GoogleUpdate.lnk','32');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Google Chrome.lnk','32');
DeleteFile('C:\ProgramData\ProgramData.lnk','32');
DeleteFile('C:\ProgramData\My Music.lnk','32');
DeleteFile('C:\Windows\Windows.lnk','32');
DeleteFile('C:\Windows\My Music.lnk','32');
DeleteFile('C:\Program Files\Program Files.lnk','32');
DeleteFile('C:\Program Files\My Music.lnk','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Google Chrome');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','JavaUpdate');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NewJavaInstall');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Chrome');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AdopeUpdate');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AdopeFlash');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.
[/code]
Пришлите архив карантина из папки AVZ.
Скачайте [url=http://virusinfo.info/soft/tool.php?tool]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл [b]Check_Browsers_LNK.log[/b] из логов на ClearLNK как показано на рисунке
[url=http://dragokas.com/tools/move.gif][img]http://dragokas.com/tools/move.gif[/img][/url]
* Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.
Сделайте новые логи программой [url=https://virusinfo.info/content.php?r=136-pravila]Autologger[/url] и пришлите их.
Здравствуйте! К сожалению только сегодня увидел ответ(
- softexpro Expert Home (ПРОГРАММА ДЛЯ СКРЫТОГО СЛЕЖЕНИЯ ЗА КОМПЬЮТЕРОМ ЧЕРЕЗ ИНТЕРНЕТ) - эта прога нужна, пользуюсь постоянно)
- Mail.RU. - если это от браузера амиго, то амиго нужен, потому что он заходит на сайт, которым не заходит другие браузеры.
В логах вашей проблемы не видно.
Уточните, ярлыки больше не создаются?
[b]lex0819[/b],
Огромное спасибо, ярлыки больше не создаются. Все остальные ярлыки удалил из компьютера.
Этот троян проник в мой компьютер при помощи флешки знакомого. Кстати в моей флешке эти ярлыки тоже есть, проникли туда из компа, скажите пожалуйста, как можно их удалить оттуда? После того как я поймал этот троян я отключил для всех дисков и флешек автозапуск на компьютере.
1. Вы авторан как отключали? Проверьте настройки в реестре:
[CODE]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom, AutoRun, REG_DWORD=00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun, NoDriveTypeAutoRun, REG_DWORD=000000b1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun, REG_DWORD=000000b1
[/CODE]
2. Это старый червь, он есть у [url=https://vms.drweb.ru/virus/?i=4249362]Доктора Веба с 2014 года[/url], посмотрите описание файлов-зловредов.
3. Поставьте антивирус с настройками [B]Проверять автоматически съемные носители перед запуском[/B]. Например [url=http://www.kaspersky.ru/free-antivirus]БЕСПЛАТНЫЙ АНТИВИРУС КАСПЕРСКОГО[/url]. Или другой антивирус на ваше усмотрение, можно полноценную 30-ти дневную демо-версию. Доктор Веб должен такое лечить точно.
4. После установки антивируса и перезагрузки компьютера убедитесь, что антивирус заработал.
5. Вставьте флешку, но не запускайте ее.
6. Проверьте флешку антивирусом.
7. Убедитесь, что антивирус нашел и удалил вирусные файлы.
8. Проверьте антивирусом все съемные носители.
Я авторан отключал через панель упраления-автозапуск-и снял галочку с использовать автозапуск для всех носителей. По вашей инструкции и в реестре тоже отключил сегодня. Спасибо!
Поставил антивирус от доктора Вэба и посканировал жесткий диск полностью, нашлись еще 13 троянов типа MyMusic.lnk и GoogleChrome.lnk, антивирус их удалил. Почистил и полностью отформатировал свою флешку и теперь он тоже чист.
Спасибо Вам огромное за помощь! Проблема решена полностью!
Выполните скрипт в AVZ при наличии доступа в интернет:
[code]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/code]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=https://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]