Самопроизвольная запись на флэшки подозрительных файлов.

Вкратце ситуация такова. Полгода назад на новой работе столкнулся с тем, что на флэшках, побывавших в тамошних компьютерах самопроизвольно появляются папки BOOTEX.LOG c файлами с расширением .СHK и ярлыки с названиями, дублирующими имена уже существующих папок. В каждой папке - по одному такому ярлыку и по одному BOOTEX.LOG, это если флэшку долго держать подсоединенной. Если быстро что-то скинуть, то может появиться только одна две таких сладких парочки, или ничего не появиться. Изучение свойств ярлыка через контекстное меню показало, что он запускает командную строку с упоминанием одного из файлов папки BOOTEX.LOG. чЧо конкретно, не помню, да и синтаксисом не владею. Раз за разом я методично удалял все эти дела со своих флэшек эти папки и ярлыки и предупреждал маму, которая работает там же, ни в коем случае по подозрительным ярлыкам не щелкать. Ну, и, естественно, сразу же предупредил администрацию. Но там полный пофигизм: "мы проверяли, все компы чистые, бла-бла". А проблема никуда не ушла. Кроме меня, похоже, в коллективе, состоящим. в основном, из пожилых преподавателей женского пола, никто ее не замечает, хотя на то, что компьютеры "работают задумчиво" и "то печатают, то не печатают" жалуются постоянно.

И вот вчера настал момент истины: мой ноутбук, не подключенный к Интернету, за которым обычно работает мама (и как раз накануне принесла очередную порцию "радости" с рабочего компа) начал вести себя аналогично - заражает флэшки вышеописанным образом. Иногда сразу, как вставишь, иногда - после часа и более соединения. Видимо, мама таки по ярлыку щелкнула. Прогнал CureIT - закарантинил файл GoogleUpdates.exe. Ничего от гугла я на этот ноут не ставил. Но и после этого процесс с таким именем продолжил иногда на короткое время появляться в таскменеджере и перфмоне. Там же видно и другую подозрительную активность, но я слишком плохо разбираюсь в системных процессах Win7, чтобы отделить мух от котлет. Однако, например, строка, оканчивающаяся на copyusb.cmd, явно неспроста. Сделал несколько снимков экрана, если надо, могу выложить. CureIT более ничего не находит. Еще такой вопрос: одинаковый размер файлов реестра в папке Windows\System32\Config - 256 Кб - это нормально? Копии их от 2 числа текущего месяца в папке RegBack все разного размера и меньше.

Простите за сумбурное изложение - всю ночь бился с этой проблемой, глаза слипаются. Увы, не победить мне этого зверя самостоятельно, ни знаний, ни времени нет. Только на вашу помощь уповаю.

P.s. Наткнулся на похожую тему: [url]https://virusinfo.info/showthread.php?t=106800[/url]. В моем случае скандиск (вернее, чекдиск) точно не запускался.

Уважаемый(ая) [B]Илия Оголь[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте.

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\1\GoogleUpdates.exe','');
DeleteFile('C:\Users\1\GoogleUpdates.exe','32');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

Добрый вечер! Логи прикрепил. Попытка загрузить карантин закончилась выдачей следующего сообщения:

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.

Сделал, но без "Driver MD5", такого в новой версии Farbar Recovery Scan Tool нет.

По логам видны проблемные ярлыки только в папке ДОКУМЕНТЫ на Рабочем столе. Их нужно либо править вручную, указав путь к нужному файлу, либо вообще удалить.

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
Task: {39CF4A98-5C1B-44AA-B4F0-C49132CBC19A} - \GoogleUpdates -> No File <==== ATTENTION
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]