В каждой папке создаются ярлыки My Music и с названием Папки в которой находишься

[nibblex]

В каждой папке создаются ярлыки My Music и с названием Папки в которой находишься

Windows 7 32bit
На комьютере есть три диска c,d,e, и во всех папках этот вирус

[Info_bot]

Уважаемый(ая) nibblex, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lex0819]

У вас установлено ПО от компаний;
- softexpro Expert Home (ПРОГРАММА ДЛЯ СКРЫТОГО СЛЕЖЕНИЯ ЗА КОМПЬЮТЕРОМ ЧЕРЕЗ ИНТЕРНЕТ),
- Mail.RU.
Если вы им не пользуетесь, - удалите его штатными средствами Windows.

Пофиксите в HiJackThis.

Код:

O4 - Global User Startup: Google Chrome.lnk    ->    C:\Windows\system32\cmd.exe /c start C:\GoogleChrome\GoogleChrome.exe C:\GoogleChrome\GoogleChrome.a3x & exit
O4 - Global User Startup: GoogleUpdate.lnk    ->    C:\GoogleChrome\GoogleChrome.exe /AutoIt3ExecuteScript C:\GoogleChrome\GoogleChrome.a3x
O4 - HKCU\..\Run: [AdopeFlash] C:\GoogleChrome\GoogleChrome.exe  /AutoIt3ExecuteScript C:\GoogleChrome\GoogleChrome.a3x
O4 - HKCU\..\Run: [AdopeUpdate] C:\GoogleChrome\GoogleUpdate.lnk 
O4 - HKCU\..\Run: [Google Chrome] C:\GoogleChrome\WindowsUpdate.lnk 
O4 - HKCU\..\Run: [amigo] C:\Users\nibble\AppData\Local\Amigo\Application\amigo.exe  --no-startup-window
O4 - HKLM\..\Run: [Google Chrome] C:\GoogleChrome\WindowsUpdate.lnk 
O4 - HKLM\..\Run: [JavaUpdate] C:\GoogleChrome\GoogleUpdate.lnk 
O4 - HKLM\..\Run: [NewJavaInstall] C:\GoogleChrome\GoogleChrome.exe  /AutoIt3ExecuteScript C:\GoogleChrome\GoogleChrome.a3x
O4 - MSConfig\startupreg: [amigo] C:\Users\nibble\AppData\Local\Amigo\Application\amigo.exe  --no-startup-window (HKCU) (2016/08/26)

Выполните скрипт AVZ.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 TerminateProcessByName('C:\GoogleChrome\GoogleChrome.exe');
 QuarantineFileF('C:\MozillaFirefox', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\GoogleChrome', '*', true, ' ', 0, 0);
 QuarantineFile('C:\GoogleChrome\WindowsUpdate.lnk','');
 QuarantineFile('C:\GoogleChrome\GoogleUpdate.lnk','');
 QuarantineFile('C:\GoogleChrome\GoogleChrome.a3x','');
 QuarantineFile('C:\GoogleChrome\GoogleChrome.exe','');
 QuarantineFile('C:\ProgramData\ProgramData.lnk','');
 QuarantineFile('C:\ProgramData\My Music.lnk','');
 QuarantineFile('C:\Windows\Windows.lnk','');
 QuarantineFile('C:\Windows\My Music.lnk','');
 QuarantineFile('C:\Program Files\Program Files.lnk','');
 QuarantineFile('C:\Program Files\My Music.lnk','');

 DeleteFileMask('C:\GoogleChrome','*',true);
 DeleteDirectory('C:\GoogleChrome');
 DeleteFileMask('C:\MozillaFirefox','*',true);
 DeleteDirectory('C:\MozillaFirefox');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\GoogleUpdate.lnk','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Google Chrome.lnk','32');
 DeleteFile('C:\ProgramData\ProgramData.lnk','32');
 DeleteFile('C:\ProgramData\My Music.lnk','32');
 DeleteFile('C:\Windows\Windows.lnk','32');
 DeleteFile('C:\Windows\My Music.lnk','32');
 DeleteFile('C:\Program Files\Program Files.lnk','32');
 DeleteFile('C:\Program Files\My Music.lnk','32');
 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Google Chrome');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','JavaUpdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NewJavaInstall');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Chrome');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AdopeUpdate');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AdopeFlash');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

Пришлите архив карантина из папки AVZ.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи программой Autologger и пришлите их.

[nibblex]

Здравствуйте! К сожалению только сегодня увидел ответ(

- softexpro Expert Home (ПРОГРАММА ДЛЯ СКРЫТОГО СЛЕЖЕНИЯ ЗА КОМПЬЮТЕРОМ ЧЕРЕЗ ИНТЕРНЕТ) - эта прога нужна, пользуюсь постоянно)
- Mail.RU. - если это от браузера амиго, то амиго нужен, потому что он заходит на сайт, которым не заходит другие браузеры.

[lex0819]

В логах вашей проблемы не видно.
Уточните, ярлыки больше не создаются?

[nibblex]

lex0819,
Огромное спасибо, ярлыки больше не создаются. Все остальные ярлыки удалил из компьютера.
Этот троян проник в мой компьютер при помощи флешки знакомого. Кстати в моей флешке эти ярлыки тоже есть, проникли туда из компа, скажите пожалуйста, как можно их удалить оттуда? После того как я поймал этот троян я отключил для всех дисков и флешек автозапуск на компьютере.

[lex0819]

1. Вы авторан как отключали? Проверьте настройки в реестре:

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom, AutoRun, REG_DWORD=00000000

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun, NoDriveTypeAutoRun, REG_DWORD=000000b1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun, REG_DWORD=000000b1

2. Это старый червь, он есть у Доктора Веба с 2014 года, посмотрите описание файлов-зловредов.

3. Поставьте антивирус с настройками Проверять автоматически съемные носители перед запуском. Например БЕСПЛАТНЫЙ АНТИВИРУС КАСПЕРСКОГО. Или другой антивирус на ваше усмотрение, можно полноценную 30-ти дневную демо-версию. Доктор Веб должен такое лечить точно.

4. После установки антивируса и перезагрузки компьютера убедитесь, что антивирус заработал.
5. Вставьте флешку, но не запускайте ее.
6. Проверьте флешку антивирусом.
7. Убедитесь, что антивирус нашел и удалил вирусные файлы.
8. Проверьте антивирусом все съемные носители.

[nibblex]

Я авторан отключал через панель упраления-автозапуск-и снял галочку с использовать автозапуск для всех носителей. По вашей инструкции и в реестре тоже отключил сегодня. Спасибо!
Поставил антивирус от доктора Вэба и посканировал жесткий диск полностью, нашлись еще 13 троянов типа MyMusic.lnk и GoogleChrome.lnk, антивирус их удалил. Почистил и полностью отформатировал свою флешку и теперь он тоже чист.
Спасибо Вам огромное за помощь! Проблема решена полностью!

[lex0819]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера