При открытии флешки вместо файлов появился значок ярлыка [not-a-virus:HEUR:NetTool.Win64.NetFilter.gen, UDS:DangerousObject.Multi.Generic ]

**mrsvet** · 25.02.2018, 12:01

При открытии флешки вместо файлов появился значок ярлыка, Файлы и папки на флешке перемещены в скрытую папку, появились дополнительные папка "WindowsServices" с файлом movemenoreg.vbs. Логи во вложении

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.02.2018, 12:05

Уважаемый(ая) mrsvet, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 26.02.2018, 07:09

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('ContentProtectorDrv');
 QuarantineFile('C:\Program Files\ContentProtector\ContentProtector.exe', '');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe', '');
 QuarantineFile('C:\Program Files\Thixomet PRO\thixomet.exe', '');
 QuarantineFile('C:\Users\Sale4\appdata\roaming\checkers\draughts\draughts.exe', '');
 QuarantineFile('C:\Users\Sale4\AppData\Roaming\WindowsServices\helper.vbs', '');
 QuarantineFile('C:\Users\Sale4\desktop\test.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\qknfd.sys', '');
 DeleteFile('C:\Program Files\ContentProtector\ContentProtector.exe', '32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe', '32');
 DeleteFile('C:\Users\Sale4\appdata\roaming\checkers\draughts\draughts.exe', '32');
 DeleteFile('C:\Users\Sale4\AppData\Roaming\WindowsServices\helper.vbs', '32');
 DeleteFile('C:\Users\Sale4\desktop\test.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\qknfd.sys', '32');
 DeleteService('ContentProtector');
 DeleteService('ContentProtectorDrv');
 DeleteService('qknfd');
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteFileMask('c:\program files\mobogenie', '*', true);
 DeleteFileMask('c:\users\sale4\appdata\roaming\checkers', '*', true);
 DeleteDirectory('c:\program files\contentprotector');
 DeleteDirectory('c:\program files\mobogenie');
 DeleteDirectory('c:\users\sale4\appdata\roaming\checkers');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mobilegeni daemon');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог сканирования МВАМ, включите в проверку сменные носители.

**mrsvet** · 26.02.2018, 13:50

скрипт в AVZ выполнен. файл с карантином загружен

**Vvvyg** · 26.02.2018, 21:35

А дальше? Лог MBAM сделайте и приложите к теме.

**mrsvet** · 27.02.2018, 08:09

Лог MBAM приложен

**Vvvyg** · 27.02.2018, 22:04

Не путайте: карантин - для вирусов, туда - то, что явным образом туда просят загрузить хелперы. Логи - вложением, скрепка в расширенном режиме.
Тут автоматическая система анализа карантинов, вот она офигевает сейчас от лога MBAM...

Ладно, достал я его из карантина.

Удалите в MBAM (переместите в карантин) всё, кроме:

Код:

PUP.Optional.OpenCandy, C:\ETLIB\DX11.EXE, Проигнорировано пользователем, [477], [297667],1.0.4106
HackTool.Agent, C:\TEMP\01_AGENT\Архив флешка\софт\MINI-KMS_ACTIVATOR_V1.072_RU.ZIP, Проигнорировано пользователем, [416], [85888],1.0.4106
HackTool.Agent, C:\АРХИВ\флешка\21 авг\софт\MINI-KMS_ACTIVATOR_V1.072_RU.ZIP, Проигнорировано пользователем, [416], [85888],1.0.4106
Trojan.Downloader, C:\АРХИВ\флешка\21 авг\софт\WINRAR36B1.EXE, Проигнорировано пользователем, [47], [263394],1.0.4106
HackTool.Agent, C:\АРХИВ\флешка\25 ноя\софт\MINI-KMS_ACTIVATOR_V1.072_RU.ZIP, Проигнорировано пользователем, [416], [85888],1.0.4106
Trojan.Downloader, C:\АРХИВ\флешка\25 ноя\софт\WINRAR36B1.EXE, Проигнорировано пользователем, [47], [263394],1.0.4106

В логе нет результатов проверки флэшки.

Запустите MBAM, перейдите на вкладку Параметры - Личный кабинет и нажмите Деактивировать ознакомительную Premium-версию.
На вкладке Проверка, тип проверки установите Выборочная проверка, включите в проверяемые только флэш-диск и нажмите кнопку Начать проверку.
Результат прикрепите к сообщению.

**mrsvet** · 28.02.2018, 15:50

Инструкции выполнил. Лог флешки приложен

**Vvvyg** · 28.02.2018, 19:52

С флэшкой порядок?

**mrsvet** · 28.02.2018, 21:12

порядок. MBAM не опознал вражескую папку созданную вирусом. я самостоятельно перекопировал файлы спрятанные вирусом в скрытый каталог и удалил созданный вирусом ярлык флешки. Вирус больше активности не проявляет

**CyberHelper** · 28.02.2018, 21:22

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\users\sale4\appdata\roaming\checkers\draughts\d raughts.exe - UDS:DangerousObject.Multi.Generic
2. c:\windows\system32\drivers\contentprotectordrv.sy s - not-a-virus:HEUR:NetTool.Win64.NetFilter.gen

При открытии флешки вместо файлов появился значок ярлыка [not-a-virus:HEUR:NetTool.Win64.NetFilter.gen, UDS:DangerousObject.Multi.Generic ] (заявка № 217879)

Опции темы