Решена Ярлыки на флешке.

Статус
В этой теме нельзя размещать новые ответы.
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Добрый вечер. Знакомый подхватил вирус изменяющий и скрывающий файлы на флешке и меняя их на ярлыки. Спасибо.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\Users\Volodya\LOCALS~1\Temp\msezaq.exe','');
 DeleteFile('C:\Users\Volodya\LOCALS~1\Temp\msezaq.exe','32');
 DeleteFile('F:\autorun.inf','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
F3 - HKCU\..\Windows: [load] = C:\Users\Volodya\LOCALS~1\Temp\msezaq.exe
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Знакомый подхватил вирус изменяющий и скрывающий файлы на флешке и меняя их на ярлыки
Воспользуйтесь этой утилитой https://safezone.cc/resources/antihidden-udalenie-posledstvij-dejstvija-virusa-na-semnom-nakopitele.65/
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Выполнил. утилиту установил. Кстати, появился глюк, usb-накопители перестали совсем отображаться в проводнике. В оснастке Управление дисками он виден. Это появилось еще перед выполнения скриптов. Порты исправны, флешки видны в БИОС и с них успешно загружаются.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
В оснастке Управление дисками он виден.
Съемному диску присвоена "буква диска"?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Нет, буква не присваивается, только полный объем флешки. Из действий есть только удалить\изменить букву...\свойства. Но при попытке изменить букву ошибка типа "произошла ошибка при выполнении операции, так как информация в оснастке диспетчера дисков устаела".
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Понял, в файловых менеджерах диски не видны?
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Вот и приходится закидывать утилиту на загрузочную флешку, затем с нее грузиться и сбрасывать на локальный диск, ну и затем запускать.
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
@diagnoz, давайте уже долечим, а потом и флешки пофиксим. И наверное отключим автозапуск с съемных носителей, чтоб избежать перезаражения.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Нет в Far, например, также не видны.
Post automatically merged:

Прилагаю логи FRST.
Post automatically merged:

Все остальное выполнил.
 

Вложения

Последнее редактирование:
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Антивирус кстати совсем не стоял. Сейчас установлю.
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Разобрался с флешками, ту флешку которую я подключал, ранее была зашифрованным файловым контейнером. Теперь все в порядке, проводник видит их. :)
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Групповые политики сами (или администратор) настраивал?
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1395735229-1054448213-924595394-1001\User: Restriction <==== ATTENTION

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {24648684-a2e9-11e3-a909-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {3f465681-ed11-11e3-8bcf-001c2538db7c} - G:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {69ab7f1c-1aa9-11e3-89ba-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {6fe40e46-1b8f-11e3-9ca1-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {716d0940-e920-11e2-a6a6-001c2538db7c} - F:\LaunchU3.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {9d79e052-1f1e-11e3-9e3f-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {a6a2d25e-193a-11e3-bd14-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {a6a2d26e-193a-11e3-bd14-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {a6a2d279-193a-11e3-bd14-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {c1651f23-b97e-11e3-a4d6-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {c1651fc4-b97e-11e3-a4d6-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {d74a2d49-1b8c-11e3-babf-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {e30976ba-1bc7-11e3-8c5e-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {ead51ef6-b1bc-11e3-8bfb-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {ead51f0d-b1bc-11e3-8bfb-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {ead51f28-b1bc-11e3-8bfb-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {eca7e2f2-1c8a-11e3-bbc4-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {eca7e300-1c8a-11e3-bbc4-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {eca7e324-1c8a-11e3-bbc4-001c2538db7c} - H:\Launcher.exe
    S1 dukcheqe; \??\C:\Windows\system32\drivers\dukcheqe.sys [X]
    U3 afttmqta; C:\Windows\system32\Drivers\afttmqta.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [149]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Нет, ничего не настраивалось, компьютер не в домене. Хотя эти записи в логах тоже видел и был удивлен.
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
++
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1395735229-1054448213-924595394-1001\User: Restriction <==== ATTENTION
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,051
Реакции
5,846
Баллы
648
+ также:
- скачайте архив GetHJT_dump.zip, распакуйте его.
- в эту же папку скопируйте программу HiJackThis (она находится в папке автологгера ...\AutoLogger\HiJackThis\)
- запустите правой кнопкой мыши "От имени администратора" файл GetDump.bat
- получившийся файл Dumps.zip загрузите на файлообменник, например, File.Karelia и предоставьте ссылку.
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48

Вложения

Последнее редактирование:
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Что с проблемами?
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
akok, Dragokas, спасибо Вам за помощь и приобретение мною навыков в чтении и исследовании логов. Вы как всегда молодцы. Теперь все в порядке. Проблем нет.
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Тогда финальные рекомендации
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
diagnoz

diagnoz

Активный пользователь
Сообщения
45
Реакции
4
Баллы
48
Сделано. База безопасных файлов также пополнена, архив выслал.
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Moxito
Ответы
4
Просмотры
210
Moxito
Moxito
Э
Ответы
5
Просмотры
459
monowar
monowar
archiloremd
Ответы
21
Просмотры
1K
akok
Сверху Снизу