LNK вирус

@Skief8 · Регистрация: 23.04.2017

Author24 — интернет-сервис помощи студентам

Переименовал много файлов в лнк, помогите удалить вирус и восстановить файлы.

Добавлено через 1 минуту
Все папки имеют формат "Ярлык".

@Sandor · 08.06.2017, 09:52

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Skief8 · 08.06.2017, 10:06 **[ТС]**

вот они

@Skief8 · 08.06.2017, 10:07 **[ТС]**

Пожалуйста помогите, бухгалтерия стоит

@Sandor · 08.06.2017, 10:38

Внимание! Рекомендации написаны специально для пользователя Skief8. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\themctrl.dll', '');
 DeleteFile('C:\Windows\System32\themctrl.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Skief8 · 08.06.2017, 10:58 **[ТС]**

Всё сделал, вот логи

@Sandor · 08.06.2017, 11:04

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Skief8 · 08.06.2017, 11:09 **[ТС]**

Вот, также не открываются некоторые документы, пишет что повреждены

@Skief8 · 08.06.2017, 11:20 **[ТС]**

На другой машине почти аналогичная проблема, файлы все повреждены, для неё нужно создавать новую тему, похожу что вирус пошёл по локалке, это ужас

@Sandor · 08.06.2017, 11:35

Сообщение от Skief8

для неё нужно создавать новую тему

Да.

Сообщение от Skief8

похожу что вирус пошёл по локалке

Пока закройте общие ресурсы. хотя бы задайте пароль - видно по логам, что их не мало.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-02-19]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> @Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.2&gp=789214
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-02-15]
FF Extension: (Спутник @Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2015-12-30]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-02-15]
FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\user.js [2015-02-19]
FF NewTab: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> hxxp://www.hohosearch.com/?ts=AHEqAHIqCHUqAk..&v=20160425&uid=3E07EE2368F6EA501CD223ACF60D883B&ptid=qca&mode=ffseng
FF DefaultSearchEngine.US: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> data:text/plain,browser.search.defaultenginename.US=hohosearch
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> hohosearch
FF Homepage: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> hxxps://mail.ru/
FF Keyword.URL: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> hxxp://www.hohosearch.com/chrome.php?uid=3E07EE2368F6EA501CD223ACF60D883B&ptid=qca&ts=AHEqAHIqCHUqAk..&v=20160425&mode=ffexttoolbar&q=
FF Plugin: @qq.com/npAndroidAssistant -> C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
OPR Extension: (Dolka.ru) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-04-18]
S2 themctrl; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S3 TSSK; C:\Windows\System32\tssk.sys [67896 2016-04-25] (电脑管家)
S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMUdisk.sys [X]
S1 softaal; \??\C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\softaal.sys [X]
S1 SRepairDrv; \??\C:\Program Files\Tencent\QQPCMGR\Plugins\SRepairDrv [X]
2017-06-08 09:22 - 2017-06-08 09:22 - 00000930 _____ C:\Users\user\Desktop\налог на имущество за 1 вартал 2017.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000910 _____ C:\Users\user\Desktop\Обработки для конвертации.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000910 _____ C:\Users\user\Desktop\запрос к письму омс 12,09.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000904 _____ C:\Users\user\Desktop\квартальная отчетность.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000902 _____ C:\Users\user\Desktop\Было на рабочим столе.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000894 _____ C:\Users\user\Desktop\установка парус 8.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000892 _____ C:\Users\user\Desktop\Учетная политика.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\титульные листы.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\Новая папка (6).lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\Новая папка (5).lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\Новая папка (4).lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\Новая папка (3).lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\Новая папка (2).lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000888 _____ C:\Users\user\Desktop\татищевская РБ.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000888 _____ C:\Users\user\Desktop\платные услуги.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000888 _____ C:\Users\user\Desktop\инструкции ФХД.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000886 _____ C:\Users\user\Desktop\корректировка.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000884 _____ C:\Users\user\Desktop\для гл.врача.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000882 _____ C:\Users\user\Desktop\Ходатайство.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000882 _____ C:\Users\user\Desktop\Новая папка.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000882 _____ C:\Users\user\Desktop\ДЛЯ УПР МЕД.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000880 _____ C:\Users\user\Desktop\инструкции.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000878 _____ C:\Users\user\Desktop\налоговая.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000872 _____ C:\Users\user\Desktop\Пароли.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000872 _____ C:\Users\user\Desktop\ОТЧЕТЫ.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000872 _____ C:\Users\user\Desktop\МИНФИН.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000872 _____ C:\Program Files.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000868 _____ C:\Новая папка.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000868 _____ C:\Users\user\Desktop\бекк.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000868 _____ C:\Users\user\Desktop\2017.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000868 _____ C:\Users\user\Desktop\2016.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000868 _____ C:\Users\user\Desktop\2015.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000868 _____ C:\checkpoints.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000866 _____ C:\Users\user\Desktop\ндс.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000866 _____ C:\Users\user\Desktop\дом.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000864 _____ C:\Splashtop.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000862 _____ C:\PerfLogs.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000860 _____ C:\Windows.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000858 _____ C:\ot146l.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000858 _____ C:\ioms_v.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000856 _____ C:\Users.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000856 _____ C:\Intel.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000854 _____ C:\Temp.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000854 _____ C:\OMZL.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000850 _____ C:\1C.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000000 _____ C:\Users\user\AppData\Roaming\rkfbLe32
2017-06-08 09:22 - 2017-06-08 01:05 - 00073216 ____H C:\Users\user\Desktop\df696522.exe
2017-06-08 09:22 - 2017-06-08 01:05 - 00073216 ____H C:\df696522.exe
2017-06-08 11:57 - 2017-06-08 11:57 - 0073216 _____ () C:\Users\user\AppData\Local\Temp\df696522.exe
Task: {F4273357-C223-47AB-8153-9B1DE1951872} - System32\Tasks\Microsoft\Windows\SystemRestore\ProShopper => C:\Users\user\AppData\Roaming\ProShopper\ProShopper.exe <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
FirewallRules: [{7C503698-5E8F-4321-B531-9A0036736CCE}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{2DB88179-F43B-4DB0-87E7-1D3C2CFFD940}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{BD862F6E-9CE4-4849-994A-53165F725BC7}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{CE54C003-BE20-46DE-AF70-09EB6D2879A2}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Оригинальные папки скрыты. Самостоятельно сможете изменить атрибут?

@Skief8 · 08.06.2017, 11:47 **[ТС]**

Какие именно папки нужны?

@Sandor · 08.06.2017, 12:22

Сообщение от Skief8

Все папки имеют формат "Ярлык"

В фиксе они видны.

2017-06-08 09:22 - 2017-06-08 09:22 - 00000892 _____ C:\Users\user\Desktop\Учетная политика.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\титульные листы.lnk
2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\Новая папка (6).lnk

и т.п.

@Skief8 · 08.06.2017, 12:27 **[ТС]**

А ярлыки удалять?

@Sandor · 08.06.2017, 12:31

Фикс должен был их уже удалить.

Добавлено через 3 минуты
Это другой компьютер?

@Skief8 · 08.06.2017, 12:53 **[ТС]**

Сделал, теперь не один документ не открывается

Добавлено через 1 минуту
Нет, это не он (там тоже проблема с открытием документов)

@Sandor · 08.06.2017, 13:32

Сообщение от Skief8

не один документ не открывается

Какие именно документы? Перечислите форматы.

@Skief8 · 08.06.2017, 13:40 **[ТС]**

xlsx,docx,pdf,jpg

@Sandor · 08.06.2017, 13:44

Это уже третий компьютер? Или этот же самый?

Добавлено через 3 минуты
Найдите в папке

...\AutoLogger\AVZ

файл RunUnlock.inf
Щелкните на нем правой кнопкой и выберите Установить.

@Skief8 · 08.06.2017, 14:16 **[ТС]**

Сделал, (это всё тот же, первый)

Добавлено через 1 минуту
Ту запись сделал для второго ПК.

Добавлено через 22 минуты
Файлы возможно восстановить?

@Sandor · 08.06.2017, 14:22

По-прежнему не открываются?
А если запустить, например, Word - Файл - открыть - открывается?

@Skief8 0 / 0 / 2 Регистрация: 23.04.2017 Сообщений: 116
		1
	LNK вирус 08.06.2017, 09:46. Показов 18123. Ответов 45 Метки нет (Все метки) Переименовал много файлов в лнк, помогите удалить вирус и восстановить файлы. Добавлено через 1 минуту Все папки имеют формат "Ярлык". 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.06.2017, 09:52	2
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Skief8 0 / 0 / 2 Регистрация: 23.04.2017 Сообщений: 116
	08.06.2017, 10:07 [ТС]	4
	Пожалуйста помогите, бухгалтерия стоит 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.06.2017, 10:38	5
	Внимание! Рекомендации написаны специально для пользователя Skief8. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\themctrl.dll', ''); DeleteFile('C:\Windows\System32\themctrl.dll', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.06.2017, 11:04	7
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Skief8 0 / 0 / 2 Регистрация: 23.04.2017 Сообщений: 116
	08.06.2017, 11:20 [ТС]	9
	На другой машине почти аналогичная проблема, файлы все повреждены, для неё нужно создавать новую тему, похожу что вирус пошёл по локалке, это ужас 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.06.2017, 12:22	12
	Сообщение от Skief8 Все папки имеют формат "Ярлык" В фиксе они видны. 2017-06-08 09:22 - 2017-06-08 09:22 - 00000892 _____ C:\Users\user\Desktop\Учетная политика.lnk 2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\титульные листы.lnk 2017-06-08 09:22 - 2017-06-08 09:22 - 00000890 _____ C:\Users\user\Desktop\Новая папка (6).lnk и т.п. 0

@Skief8 0 / 0 / 2 Регистрация: 23.04.2017 Сообщений: 116
	08.06.2017, 12:27 [ТС]	13
	А ярлыки удалять? 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.06.2017, 12:31	14
	Сообщение было отмечено Skief8 как решение Решение Фикс должен был их уже удалить. Добавлено через 3 минуты Это другой компьютер? 1

@Skief8 0 / 0 / 2 Регистрация: 23.04.2017 Сообщений: 116
	08.06.2017, 12:53 [ТС]	15
	Сделал, теперь не один документ не открывается Добавлено через 1 минуту Нет, это не он (там тоже проблема с открытием документов) 0

	08.06.2017, 14:22

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.06.2017, 13:32	16
	Сообщение от Skief8 не один документ не открывается Какие именно документы? Перечислите форматы. 0

@Skief8 0 / 0 / 2 Регистрация: 23.04.2017 Сообщений: 116
	08.06.2017, 13:40 [ТС]	17
	xlsx,docx,pdf,jpg 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	08.06.2017, 13:44	18
	Это уже третий компьютер? Или этот же самый? Добавлено через 3 минуты Найдите в папке ...\AutoLogger\AVZ файл RunUnlock.inf Щелкните на нем правой кнопкой и выберите Установить. 0

@Skief8 0 / 0 / 2 Регистрация: 23.04.2017 Сообщений: 116
	08.06.2017, 14:16 [ТС]	19
	Сделал, (это всё тот же, первый) Добавлено через 1 минуту Ту запись сделал для второго ПК. Добавлено через 22 минуты Файлы возможно восстановить? 0

LNK вирус

Решение