Добрый день. прошу помощи в удалении вируса Trojan.winlnk.starter.cl и HEUR:Trojan.Win32.Generic. Спасибо.
Printable View
Добрый день. прошу помощи в удалении вируса Trojan.winlnk.starter.cl и HEUR:Trojan.Win32.Generic. Спасибо.
Уважаемый(ая) [B]Dcmoff[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Вы собрали логи устаревшей версией (с зеркала). Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по [url=http://virusinfo.info/soft/tool.php?tool=AutoLogger]ссылке[/url] из правил) и повторите CollectionLog.
[QUOTE=Sandor;1507327]Здравствуйте!
Вы собрали логи устаревшей версией (с зеркала). Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по [URL="http://virusinfo.info/soft/tool.php?tool=AutoLogger"]ссылке[/URL] из правил) и повторите CollectionLog.[/QUOTE]
Готово
Как проявляется наличие вируса внешне?
[QUOTE=Sandor;1507331]Как проявляется наличие вируса внешне?[/QUOTE]
В одной папке "database" вирус создал вложенную скрытую папку с именем "_" в нее переместил содержимое текущей папки и добавил туда файл DeviceManager.exe. Плюс в папке "database" есть файл autorun.inf с содержанием "[aUToRUn]sHelLeXeCuTe=_\DeviceManager.exe
AuToplAy=1"
Антивирус удаляет эти файлы, но они пересоздаются каким то скриптом или службой.
Если переименовать папку например "database_" все прекращается.
Скачайте [url=https://www.malwarebytes.com/mwb-download/thankyou/]Malwarebytes' Anti-Malware[/url]. Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь её окончания.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
[QUOTE=Sandor;1507334]Скачайте [url=https://www.malwarebytes.com/mwb-download/thankyou/]Malwarebytes' Anti-Malware[/url]. Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь её окончания.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.[/QUOTE]
Сделано
[LIST][*]Загрузите [B][URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
[QUOTE=Sandor;1507341][LIST][*]Загрузите [B][URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST][/QUOTE][HR][/HR]
Приложил лог, походу антивирус справился потому что прекратилась эта ерунда после переименования папки.
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.16476 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4512486 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512486]Скачать обновления[/url][/b][/color]
HotFix KB4530734 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4530734]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.5.4.5.114 [color=red][b]Внимание! [url=https://www.foxitsoftware.com/ru/pdf-reader/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Локализованные версии могут обновляться позже англоязычных!^[/b][/color]
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 [color=red][b]Данная версия программы больше не поддерживается разработчиком.[/b][/color]. [b]Удалите старую версию, [url=https://www.7-zip.org/download.html]скачайте[/url] и установите новую.[/b]
Хотфиксы установите обязательно, иначе можно до бесконечности лечить.
[QUOTE=Sandor;1507348]------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.16476 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4512486 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512486]Скачать обновления[/url][/b][/color]
HotFix KB4530734 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4530734]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.5.4.5.114 [color=red][b]Внимание! [url=https://www.foxitsoftware.com/ru/pdf-reader/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Локализованные версии могут обновляться позже англоязычных!^[/b][/color]
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 [color=red][b]Данная версия программы больше не поддерживается разработчиком.[/b][/color]. [b]Удалите старую версию, [url=https://www.7-zip.org/download.html]скачайте[/url] и установите новую.[/b]
Хотфиксы установите обязательно, иначе можно до бесконечности лечить.[/QUOTE]
Продолжение истории: Поставил все патчи и обновления Windows, но как только я переименовываю папку и предоставляю к ней общий доступ как был раньше, как все начинает происходит по скрипту описанному выше. Включенных сетевых компов нет, ни кто не использует эту папку из сети. Где зараза и как она привязана к имени сетевого ресурса не могу понять.
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
[QUOTE=Sandor;1507447][url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url][/QUOTE]
Готово
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
[QUOTE=Sandor;1507451]Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.[/QUOTE]
Готово
Этот файл
[QUOTE]C:\vixwin\netdrive.bat[/QUOTE]
вам известен? Процитируйте его содержимое.
[QUOTE=Sandor;1507454]Этот файл
вам известен? Процитируйте его содержимое.[/QUOTE]
"timeout 9
net use z: \\Tomograf\database /persistent:yes"
Да, известен. Подключает шару диска с базой при загрузке. Сделано что бы активен был сетевой диск для работы с базой.
[quote="Dcmoff;1507333"]В одной папке "database" вирус создал вложенную скрытую папку[/quote]
По логам не вижу её. Где она находится? полный путь укажите, пожалуйста.
[QUOTE=Sandor;1507458]По логам не вижу её. Где она находится? полный путь укажите, пожалуйста.[/QUOTE]
D:\database\_"папки находившиеся в database перемешаются сюда с атрибутом скрытые"