|
0 / 0 / 0
Регистрация: 19.09.2012
Сообщений: 61
|
|
| 1 | |
Вирус превращающий папки в ярлыки10.09.2014, 22:56. Показов 5658. Ответов 44
Метки нет (Все метки)
Есть компьютер. Был, насколько мне известно, без вирусов. Принесли ноутбук, как оказалось с этим самым вирусом. Я перекидывая файлы своей флешкой, со стационара на ноут и обратно, заразил соответственно флешку, и стационарный комп. Еще в ноут был воткнут телефон с микросд флешкой, которая тоже успешна была заражена. Теперь на флешке, как обычной так и микросд, файлы и папки становятся ярлыками. Как комплексно вылечить все эти 4 устройства: пк, ноутбук, и две флешки? Гугл не помог - советы, типа в параметрах папок включить скрытые файлы, и расширения зарегистрированных типов файлов, после чего все удалить с флешки не помогли. Раздел "параметры папок" в панели управления отсутствует. Так же как и невозможно ввести команду в командную строку, так как при открытии cmd пк уходит в перезагрузку. Это я так понимаю все тот же вирус. И в завершение при старте пк происходит запуск Интернет эксплорера со ссылкой на сайт, который не указываю, из за запрета в правилах Симптомы на обоих пк совпадают. Знаю, сам дурак - все заразил, но надеюсь на вашу помощь. Прикладываю логи стационарного пк. Как на счет ноута? Для него создавать отдельную тему? Или просто дублировать все ваши советы и на нем? Возможно на нем есть и другие вирусы, так как не знаю чем занимался его владелец.
0
|
|
( Лучшие ответы (1)
| 10.09.2014, 22:56 | |
|
Ответы с готовыми решениями:
44
Вирус превращающий папки в ярлыки Вирус превращающий папки в ярлыки (ноутбук) Вирус превратил папки в ярлыки Меняет папки на ярлыки - ВИРУС? |
 21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,070
|
|
| 11.09.2014, 10:13 | 2 |
 Сообщение было отмечено Kиpилл как решение
Решение
Здравствуйте!
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\intel\wmic.exe');
TerminateProcessByName('C:\Intel\bin\colhost.exe');
QuarantineFile('c:\intel\wmic.exe','');
QuarantineFile('C:\Intel\bin\colhost.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Pjpapp.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com','');
QuarantineFile('C:\Windows\system32\Tasks\At1','');
DeleteFile('C:\Intel\bin\colhost.exe','32');
DeleteFile('c:\intel\wmic.exe','32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Pjpapp.exe', '32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\ScreenSaverPro.scr', '32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com', '32');
DeleteFile('C:\Windows\system32\Tasks\At1', '64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','persistance');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pjpapp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
QuarantineFileF('c:\intel','*', true,'',0 ,0);
DeleteFileMask('c:\intel', '*', true);
DeleteDirectory('c:\intel');
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
2. После перезагрузки выполните такой скрипт: Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Повторите логи по правилам. Только обратите внимание, логи теперь собираются при помощи Autologger-а. 4. 
Сообщение от TeareR
1
|
|
 8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
| 13.09.2014, 08:29 | 4 |
|
1. Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Pjpapp.exe','32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pjpapp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
2. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 3. Подготовьте лог MBAM
1
|
|
|
8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
| 14.09.2014, 16:04 | 6 |
|
Удалите в Malwarebytes Anti-Malware только это:
+ Скопируйте следующий текст в Блокнот и сохраните, как run.bat: Код
attrib "*" -s -h -a -r /s /d Внимание, не запускайте этот файл, когда он находится на жестком диске.
1
|
|
|
0 / 0 / 0
Регистрация: 19.09.2012
Сообщений: 61
|
|
| 15.09.2014, 01:41 [ТС] | 7 |
|
Удалил, батник запустил на флешке, после выдернул ее. ничего не запускал.
http://i.gyazo.com/b03b146f58b... ee4185.png такая картина. что удалить отсюда, что оставить? или лучше отформатировать?
0
|
|
|
8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
| 15.09.2014, 07:15 | 8 |
|
Скриншеты выкладывайте на форум.
+ То что вам нужно сохраните, а флешку отформатируйте. + Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО
0
|
|
|
0 / 0 / 0
Регистрация: 19.09.2012
Сообщений: 61
|
|
| 21.09.2014, 19:24 [ТС] | 9 |
|
Флешку отфармотировал.
Лог. Советы все сделал. У меня все чисто? И последний вопрос: какой антивирус посоветуете/предпочитаете/используете? Security Check by glax24 version 0.2.5.61 rc2 WebSite: www.safezone.cc DateLog: 21.09.2014 19:22:31 Run directory: C:\Users\Nyanyanya\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionInet: 8.1 __________________________________________________ Windows 7 (6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 02.04.2014 18:02:08 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [49.8 Гб] Занято: [49.3 Гб] Свободно: [0.5 Гб] Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe -------------Windows------------------------------ Internet Explorer 11.0.9600.17280 [+] Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Автоматическое обновление отключено Дата установки обновлений: 2014-09-21 13:40:12 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Windows Defender -------------OtherUtilities----------------------- Foxit Reader v.6.1.5.624 Внимание! Скачать обновления GameSpy Arcade Malwarebytes Anti-Malware, версия 2.0.2.1012 v.2.0.2.1012 TeamViewer 9 v.9.0.32494 -------------Java--------------------------------- Java 7 Update 67 v.7.0.670 Java Auto Updater v.2.1.67.1 -------------AppleProduction---------------------- QuickTime 7 v.7.75.80.95 -------------AdobeProduction---------------------- Adobe Flash Player 15 ActiveX v.15.0.0.152 [+] Adobe Flash Player 15 Plugin v.15.0.0.152 [+] -------------Browser------------------------------ Google Chrome v.37.0.2062.120 [+] Mozilla Firefox 32.0.1 (x86 ru) v.32.0.1 [+] -------------RunningProcess----------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.37.0.2062.120 -------------EndLog-------------------------------
0
|
|
|
8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
| 21.09.2014, 19:41 | 10 |
|
Сообщение от TeareR
Сообщение от TeareR
https://www.cyberforum.ru/antivirus-firewall-soft/
0
|
|
|
21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,070
|
|
| 08.10.2014, 16:36 | 14 |
|
Здравствуйте!
Что ж вы так неосторожно? 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\nyanya~1\appdata\local\temp\15084781.exe');
TerminateProcessByName('c:\users\nyanya~1\appdata\local\temp\219718.exe');
TerminateProcessByName('c:\users\nyanyanya\appdata\roaming\nyanyanya-ПК\write.exe');
QuarantineFile('c:\users\nyanya~1\appdata\local\temp\15084781.exe','');
QuarantineFile('c:\users\nyanya~1\appdata\local\temp\219718.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186600441\1d167r8.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-8441\1p1117r8.exe','');
QuarantineFile('C:\Users\NYANYA~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\Identities\Ripapr.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Pjpapp.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Nyanyanya\appdata\local\temp\adobe\reader_sl.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\Steam\Reversed\steam.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\skskjbpjx.exe','');
QuarantineFile('C:\PROGRA~3\mskxrdsu.exe','');
QuarantineFile('c:\users\nyanyanya\appdata\roaming\nyanyanya-ПК\write.exe','');
DeleteFile('c:\users\nyanyanya\appdata\roaming\nyanyanya-ПК\write.exe','32');
DeleteFile('C:\PROGRA~3\mskxrdsu.exe','32');
DeleteFile('C:\ProgramData\CreativeAudio\skskjbpjx.exe','32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Steam\Reversed\steam.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
DeleteFile('c:\users\nyanya~1\appdata\local\temp\15084781.exe', '32');
DeleteFile('c:\users\nyanya~1\appdata\local\temp\219718.exe', '32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186600441\1d167r8.exe', '32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-8441\1p1117r8.exe', '32');
DeleteFile('C:\Users\NYANYA~1\AppData\Local\Temp\Adobe\Reader_sl.exe', '32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Identities\Ripapr.exe', '32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Microsoft\Pjpapp.exe', '32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\ScreenSaverPro.scr', '32');
DeleteFile('C:\Users\Nyanyanya\appdata\local\temp\adobe\reader_sl.exe', '32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2pd16600');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2p2qr1r1t');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ripapr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pjpapp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1483859670');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','write.exe');
QuarantineFileF('C:\ProgramData\CreativeAudio\','*', true,'',0 ,0);
QuarantineFileF('C:\Users\Nyanyanya\AppData\Roaming\Steam\Reversed\','*', true,'',0 ,0);
DeleteFileMask('C:\ProgramData\CreativeAudio\', '*', true);
DeleteFileMask('C:\Users\Nyanyanya\AppData\Roaming\Steam\Reversed\', '*', true);
DeleteDirectory('C:\ProgramData\CreativeAudio\');
DeleteDirectory('C:\Users\Nyanyanya\AppData\Roaming\Steam\Reversed\');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
2. После перезагрузки полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Подготовьте лог AdwCleaner.
0
|
|
|
8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
| 08.10.2014, 18:34 | 16 |
|
Удалите в AdwCleaner все найденные объекты.
+ Для контроля подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
0
|
|
|
8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
| 08.10.2014, 19:20 | 18 |
|
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. 1. Удалите в HijackThis Код
O4 - HKCU\..\Run: [27700] C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186771\177d167r8.exe O4 - HKCU\..\Run: [2pd1r1t] C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18441\1d17r8.exe O4 - HKCU\..\Run: [Ripapr] C:\Users\Nyanyanya\AppData\Roaming\Identities\Ripapr.exe O4 - HKCU\..\Run: [CreativeAudio] "C:\ProgramData\CreativeAudio\skskjbpjx.exe" O4 - HKLM\..\Policies\Explorer\Run: [1483859670] C:\PROGRA~3\mskxrdsu.exe Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\Identities\Ripapr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186771\177d167r8.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18441\1d17r8.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\skskjbpjx.exe','');
QuarantineFile('C:\PROGRA~3\mskxrdsu.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\ABF0.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\9086.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\F33D.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\BD7A.exe','');
QuarantineFile('C:\Users\Nyanyanya\AppData\Roaming\1C96.exe','');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\1C96.exe');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\BD7A.exe');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\F33D.exe');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\9086.exe');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\ABF0.exe');
DeleteFile('C:\PROGRA~3\mskxrdsu.exe','32');
DeleteFile('C:\ProgramData\CreativeAudio\skskjbpjx.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18441\1d17r8.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186771\177d167r8.exe','32');
DeleteFile('C:\Users\Nyanyanya\AppData\Roaming\Identities\Ripapr.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1483859670');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2pd1r1t');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','27700');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ripapr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('C:\ProgramData\CreativeAudio', '*.*', true);
DeleteFileMask('C:\Users\Nyanyanya\AppData\Roaming\Identities', '*.*', true);
DeleteDirectory('C:\Users\Nyanyanya\AppData\Roaming\Identities');
DeleteDirectory('C:\ProgramData\CreativeAudio');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
3. После перезагрузки, выполните такой скрипт: Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 5. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
0
|
|
|
8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
| 09.10.2014, 08:40 | 20 |
|
Чисто. Для контроля подготовьте еще лог MBAM. Во время обновления откажитесь от загрузки и установки новой версии.
+ Смените все свои пароли на сервисах в интернете.
0
|
|
| 09.10.2014, 08:40 | |
| 09.10.2014, 08:40 | |
|
Помогаю со студенческими работами здесь
20
Вирус превратил папки в ярлыки... Вирус изменил папки на ярлыки Вирус, превращает папки в ярлыки! Вирус, создающий ярлыки на папки флешки Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
Наверх