Вирус на флеш-накопителе

**Da_Vinci_Cat** · 18.06.2014, 15:12

Приветствую!
У меня такая проблема - с какой-то флешки случайно занес autorun.inf-вирус, появилась эта гадость на всех флешках теперь.
С компа череез реестр и определение пути в автозагрузке эту дрянь вычистил, флешки, которые отформатировал тоже работают нормально. Но есть один накопитель с нужной мне информацией, подскажите, как избавиться, не потеряв данные?
Суть в том, что в корневой папке появляется ярлык на эту флешку, и он помимо ,собственно, самой папки открывает еще какой-то файл, который находится почему-то не на самой флешке, а на хдд (по крайней мере я так понял).
путь ("объект" в свойствах ярлыка) %homedrive%\WINDOWS\System32\rundll32.exe 4#MHMRG.ini, rundll32
Логи прилагаю, но сам в них ничего не понимаю)
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.06.2014, 15:13

Уважаемый(ая) Da_Vinci_Cat, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 18.06.2014, 15:21

Логи AVZ неверные. Перечитайте правила и сделайте все, как положено

**Da_Vinci_Cat** · 18.06.2014, 16:48

thyrex, я нуб в этом плане, еще раз сделал по инструкции у меня архивов не вышло

Или так лучше уже?
А, все, понял...

**thyrex** · 18.06.2014, 16:58

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\08A4~1\LOCALS~1\Temp\ccokpvoa.scr','');
 DeleteFile('C:\Users\08A4~1\LOCALS~1\Temp\ccokpvoa.scr','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**Da_Vinci_Cat** · 18.06.2014, 17:29

Карантин пустой. Присылать нечего. Новые логи вот.
Проблема вообще осталась только с девайсом (плеер) при подключении через юсб. Я правильно понимаю, даже если я открою через ярлык и скопирую всю инфу, потом опять все с компьютера вычищу, то при форматировании плеера слетит ось? Или нет? Может проще через сам девайс форматнуться? Плеер на андроид.

**thyrex** · 18.06.2014, 17:36

Все Ваши файлы вирус спрятал в скрытую папку с именем из пробелов
Откройте содержимое флешки в Total Commander с включенной в его настройках опцией показа скрытых и системных файлов
Удалите ярлык и прочий мусор от вируса в корне флешки, переместите информацию из невидимой папки на ее законное место

В редакторе реестра верните права на ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows и удалите в ней параметр Load

**Da_Vinci_Cat** · 18.06.2014, 17:51

Не удаляется параметр load. Это еще утром пытался сделать. "Не удается удалить выбранные параметры".

- - - Добавлено - - -

И папки с пробелами, кстати, тоже не нашел.
Безымянный.jpg

- - - Добавлено - - -

А, все, понял, автоматически открылось

**thyrex** · 18.06.2014, 17:55

Сообщение от Da_Vinci_Cat

И папки с пробелами, кстати, тоже не нашел

Самая первая в списке

Сообщение от Da_Vinci_Cat

Не удаляется параметр load

Права на ветку вернули?

**Da_Vinci_Cat** · 18.06.2014, 18:02

а по реестру вот что выскакивает
Безымянный.jpg

- - - Добавлено - - -

По папке уже сам понял, спасибо, тут разобрался)
Вернуть права можно в AVZ при помощи функции RegKeyResetSecurity? Это я нашел?)

- - - Добавлено - - -

А, все, понял, через разрешения можно. Спасибо огромное!

Вирус на флеш-накопителе (заявка № 161564)

Опции темы