Вирус на флешке Floxif.H

[hooliga4ik]

Виндовый дефендер обнаружил на флешке 4 вируса Virus:Win32/Floxif.H. При этом никаких действий к этим вирусам применить не удаётся.
Одновременно с этим я обнаружил, что с флешки попропадали папки при включенной опции "скрытые элементы", при этом физически эти папки на флешке есть (могу в них попасть, написав путь в проводнике).
Флешка используется периодически для распечатки документов, где-то там я эту дрянь и подцепил, видимо. Только вот боюсь, что и комп может быть теперь также заражён.
Отчёт из autologger прикрепил.

[Info_bot]

Уважаемый(ая) hooliga4ik, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\ProgramData\Чистилка\Чистилка.exe','32');
 DeleteFile('E:\autorun.inf', '');
 DeleteFileMask('C:\ProgramData\Чистилка\','*',true);
 DeleteDirectory('C:\ProgramData\Чистилка\');
 ExecuteWizard('SCU', 2, 2, true);
end.

Буква диска флэшки - E

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[hooliga4ik]

Архив с файлами во вложении.

[Vvvyg]

Уточните: Буква диска флэшки - E: ?

- - - - -Добавлено - - - - -

Вижу, что е:

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1376094339-2522042831-4007244246-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-1376094339-2522042831-4007244246-1001\...\MountPoints2: {54c74f90-178c-11ec-876e-6c6a7747fb61} - "F:\setup.exe" 
HKU\S-1-5-21-1376094339-2522042831-4007244246-1001\...\MountPoints2: {7622e613-d7fe-11ec-87d2-6c6a7747fb61} - "E:\HiSuiteDownLoader.exe" 
Task: {BC111422-8BE3-4178-87B2-A37E9D2511BC} - System32\Tasks\Lenovo\Vantage\Schedule\SettingsWidgetAddinDailyScheduleTask => C:\Program Files (x86)\Lenovo\VantageService\3.13.14.0\ScheduleEventAction.exe  SettingsWidgetAddinDailyScheduleTask (Нет файла)
S2 Chistilka; "C:\ProgramData\Чистилка\Чистилка.exe" /service [X]
IE trusted site: HKU\S-1-5-21-1376094339-2522042831-4007244246-1001\...\hola.org -> hxxp://hola.org
2023-12-16 08:40 - 2023-12-16 08:40 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Чистилка
CustomCLSID: HKU\S-1-5-21-1376094339-2522042831-4007244246-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1376094339-2522042831-4007244246-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1376094339-2522042831-4007244246-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1376094339-2522042831-4007244246-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
AlternateDataStreams: C:\Users\Lenovo\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
AlternateDataStreams: C:\Users\Lenovo\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394]
FirewallRules: [{70E5CA1F-65C5-4BD0-8750-F8EDAF767AFA}] => (Allow) C:\Users\Lenovo\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{4B1D37F5-56FA-4825-B594-767FAC3FAADE}] => (Allow) C:\Users\Lenovo\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
E:
cd \
attrib "*" -s -h /S /D
endbatch:
Folder: e:\
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием и прикрепите к своему следующему сообщению.

[hooliga4ik]

Во вложение не влезло, файл по ссылке - https://disk.yandex.ru/d/89prnIvNYFIb9g

[Vvvyg]

Для восстановления скрытых файлов скопируйте следующий текст в Блокнот и сохраните как run.bat:

Код:

attrib "*" -s -h /S /D

скопируйте файл run.bat в корень флешки и запустите.
Внимание: не запускайте этот файл, когда он находится на жестком диске!

Потом скопируйте с флэшки нужные файлы и отформатируйте её, как установочную её использовать уже нельзя.
Система не затронута.

[hooliga4ik]

После запуска файла скрытые папки появились, всё нужное скопировал, и запустил форматирование флешки.
Большое спасибо!

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.