Закрыто Вирус создает один ярлык и перемещает все файлы в одну скрытую папку.

Статус
В этой теме нельзя размещать новые ответы.
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Привет, на работе кто то заразил все компы этим вирусом который распространяется через флешки. Как его удалить? Особо не шарю в безопасности не умею пользоваться АVZ и прочими сложными антивирусами. Вирус похоже что батник его не определяет антивирусы. Вот скрин того чего он делает с флешками. 43061 Помогите удалить пожалуйста. Желательно с подробным инструктажем.
 
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Понял, ожидайте пожалуйста, я после выходных на работе запущу скрипт и предоставлю все логи для дальнейшего инструктажа.
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,862
Реакции
1,763
Баллы
503
Хорошо, ждём.
 
akok

akok

Команда форума
Администратор
Сообщения
16,528
Реакции
13,097
Баллы
2,203
После лечения обязательно смените пароли.

Auslogics BoostSpeed деинсталлируйте

Скриптом отключаю автозапуск

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\M-505049764065650465060505058608\winmgr.exe','');
 QuarantineFile('c:\windows\m-505049764065650465060505058608\winmgr.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager','x32');
 DeleteFile('C:\Windows\M-505049764065650465060505058608\winmgr.exe','32');
 DeleteFile('c:\windows\m-505049764065650465060505058608\winmgr.exe','32');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: {67E29990-C5A6-4A51-A395-CBD7CC42B746} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
O22 - Task: {89371C71-6522-4FA2-8EDA-45760910C6B7} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
O22 - Task: {9348F9D8-F118-4147-9FB4-1B479315B508} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
O22 - Task: {E9CC151D-388D-4C9E-8ABF-D9EC18CEC4FF} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
а как флешки почистить от этого вируса?
 
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
2019.03.14_quarantine_3d06664163a682cece98d183959c4d30.7z
все вылечил вроде, отправил карантин спасибо, еще вопрос есть этот скрипт можно запускать на виндовс 10 там такой же вирус сидит
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,862
Реакции
1,763
Баллы
503
Для повторной диагностики запустите снова AutoLogger
Это сделайте, пожалуйста.

этот скрипт можно запускать на виндовс 10 там такой же вирус сидит
Нет. Скрипт написан конкретно для этой системы. Для другого компьютера создайте отдельную тему и соберите лог по правилам.
 
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
повторная диагностика обязательна оказывается, я думал этот пункт на усмотрение пользователя сделан. хорошо запущу еще раз и скинуть логи опять как я понял?
а на другом компе с такой же операционкой прокатит вылечить? я просто уже на другом запускал с идентичной системой и вылечил по ходу.
 
akok

akok

Команда форума
Администратор
Сообщения
16,528
Реакции
13,097
Баллы
2,203
Повторная диагностика проводится для контроля. Если что-то не было удалено, или появилась новое заражение.
 
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
получается если мне надо вылечить весь отдел, а там около 15 компов. То надо на каждый логи скидывать?
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,862
Реакции
1,763
Баллы
503
Получается так. Но ведь это не сложно, верно?
 
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
мне не сложно просто там каждый в отделе за своим компом сидит и постоянно в работе, на выходной не пускают туда. сейчас вот праздники были только выходим на работу. попробую снять логи. а так нельзя сделать просто скрипт придумать в авз универсальный который этот вирус находит и уничтожает, потом просто авз прогнать везде?
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,862
Реакции
1,763
Баллы
503
Пути к файлам скорее всего будут разные.
 
B

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
ну все предполагаемые места указать, можно так? сегодня хотел прогнать утилиту оказывается надо каждый раз новую качать.
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,862
Реакции
1,763
Баллы
503
Да, обновляется ежедневно.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу