Закрыто Вирус создает один ярлык и перемещает все файлы в одну скрытую папку.

Статус
В этой теме нельзя размещать новые ответы.

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Привет, на работе кто то заразил все компы этим вирусом который распространяется через флешки. Как его удалить? Особо не шарю в безопасности не умею пользоваться АVZ и прочими сложными антивирусами. Вирус похоже что батник его не определяет антивирусы. Вот скрин того чего он делает с флешками. 43061 Помогите удалить пожалуйста. Желательно с подробным инструктажем.
 

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Понял, ожидайте пожалуйста, я после выходных на работе запущу скрипт и предоставлю все логи для дальнейшего инструктажа.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563
Хорошо, ждём.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
После лечения обязательно смените пароли.

Auslogics BoostSpeed деинсталлируйте

Скриптом отключаю автозапуск

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\M-505049764065650465060505058608\winmgr.exe','');
 QuarantineFile('c:\windows\m-505049764065650465060505058608\winmgr.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager','x32');
 DeleteFile('C:\Windows\M-505049764065650465060505058608\winmgr.exe','32');
 DeleteFile('c:\windows\m-505049764065650465060505058608\winmgr.exe','32');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: {67E29990-C5A6-4A51-A395-CBD7CC42B746} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
O22 - Task: {89371C71-6522-4FA2-8EDA-45760910C6B7} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
O22 - Task: {9348F9D8-F118-4147-9FB4-1B479315B508} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
O22 - Task: {E9CC151D-388D-4C9E-8ABF-D9EC18CEC4FF} - C:\Program Files\Auslogics\BoostSpeed\Main.exe (file missing)
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
а как флешки почистить от этого вируса?
 

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
2019.03.14_quarantine_3d06664163a682cece98d183959c4d30.7z
все вылечил вроде, отправил карантин спасибо, еще вопрос есть этот скрипт можно запускать на виндовс 10 там такой же вирус сидит
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563
Для повторной диагностики запустите снова AutoLogger
Это сделайте, пожалуйста.

этот скрипт можно запускать на виндовс 10 там такой же вирус сидит
Нет. Скрипт написан конкретно для этой системы. Для другого компьютера создайте отдельную тему и соберите лог по правилам.
 

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
повторная диагностика обязательна оказывается, я думал этот пункт на усмотрение пользователя сделан. хорошо запущу еще раз и скинуть логи опять как я понял?
а на другом компе с такой же операционкой прокатит вылечить? я просто уже на другом запускал с идентичной системой и вылечил по ходу.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Повторная диагностика проводится для контроля. Если что-то не было удалено, или появилась новое заражение.
 

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
получается если мне надо вылечить весь отдел, а там около 15 компов. То надо на каждый логи скидывать?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563
Получается так. Но ведь это не сложно, верно?
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
И про пароли не забывайте, их сменить нужно.
 

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
мне не сложно просто там каждый в отделе за своим компом сидит и постоянно в работе, на выходной не пускают туда. сейчас вот праздники были только выходим на работу. попробую снять логи. а так нельзя сделать просто скрипт придумать в авз универсальный который этот вирус находит и уничтожает, потом просто авз прогнать везде?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563
Пути к файлам скорее всего будут разные.
 

baurbas

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
ну все предполагаемые места указать, можно так? сегодня хотел прогнать утилиту оказывается надо каждый раз новую качать.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563
Да, обновляется ежедневно.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу