Удаляются данные с флэшки

@h1k10 · Регистрация: 02.10.2018

Author24 — интернет-сервис помощи студентам

В общем вставляю флэшку в пк,создаётся куча ярлыков данные еще остаются,через секунд 30 всё удаляется,повторюсь удаляется,не скрывается,попробовал антивирусом пройтись по флэхе и пк толку 0.
Вот логи,помогите плс.

@Sandor · 03.10.2018, 12:47

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя h1k10. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\programdata\{24AED278-9B3F-91A0-3754-BF0883FCE6A0}\891102e7.exe','');
 QuarantineFile('C:\Users\Fujitsu\AppData\Roaming\ievrgvti\vshvervc.exe','');
 DeleteFile('C:\Users\Fujitsu\AppData\Roaming\ievrgvti\vshvervc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jsfyd','x32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cpuminer','x32');
 DeleteFile('c:\programdata\{24AED278-9B3F-91A0-3754-BF0883FCE6A0}\891102e7.exe','32');
 DeleteSchedulerTask('{B8BEFA48-B30F-0DB0-3754-BF0883FCE6A0}');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@h1k10 · 04.10.2018, 23:06 **[ТС]**

Не помогло,сделал всё как написано,но эти QuarantineFile('c:\programdata\{24AED278-9B3F-91A0-3754-BF0883FCE6A0}\891102e7.exe','');
QuarantineFile('C:\Users\Fujitsu\AppData\Roaming\ievrgvti\vshvervc.exe','');
файлы так и остались.
Данные с флэшки так и удаляются.

@Sandor · 05.10.2018, 08:29

Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы.

Подготовьте лог uVS.

@h1k10 · 07.10.2018, 13:00 **[ТС]**

лог uVS.

@Sandor · 08.10.2018, 08:52

Выполните скрипт в UVS.

Код

;uVS v4.0.21 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.4.17339.217\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.4.17339.217\SOFTAAL.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\SREPAIRDRV
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.4.17339.217\TSNETHLP.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.4.17339.217\UDISKSHELLEXT.DLL
delref HTTP=127.0.0.1:8080
delref %SystemDrive%\USERS\FUJITSU\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\ECNPHLGNAJANJNKCMBPANCDJOIDCEILK\2.0.6899\QUICK SEARCHER
delref %SystemDrive%\USERS\FUJITSU\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\FUJITSU\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
deltsk %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FDB7EC6186F272601FE50B815B44C2E5\133F24EDF1F37B0EEFDF14422793949CDF18B31C
deltsk %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\261092FE3904F92349C058C440D4FD52\2CD33DE88607AA5B1415E9E06F19602D7B24C6B4
deltsk %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8CE466DE7DEA21DCA5E557D22C9DB9D8\452CC66922D8AF472EC205A8AAA727EB0232B754
deltsk %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9872DC51572D0A421D0A7BE4E5BE2497\822D8BD1C49EB980976FD243F4DFDC39BCA9210F
deltsk %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\41403751610A445D16D36B5B4F077F42\84B05BA97388FB22F8AF41529AF50610AADF47F4
bl E23CB14B4E7E99BFE1F4761692BE1777 267776
zoo %SystemDrive%\PROGRAMDATA\{24AED278-9B3F-91A0-3754-BF0883FCE6A0}\891102E7.EXE
delall %SystemDrive%\PROGRAMDATA\{24AED278-9B3F-91A0-3754-BF0883FCE6A0}\891102E7.EXE
apply

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL
bl 3B91BD8CDDA20F8C7F57FF3D0680A8C2 140344
addsgn 79132211B9E9317E0AA1AB5944F51205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5780BD98B109D3CF22A5A3307455F46593D4ED123B21411B3 64 Tencent 7

zoo %Sys32%\TSSK.SYS
bl 6EEBC217770F1675B94850CEC59947A2 73976
addsgn 79132211B982F18DF42BF35824EBEDFAE946281389FA1F7885C3C5BC50D639A4231777953E553DAC2B80849F461649FA7DDF5E9A55DA30EE2D7710CAC7062273 64 Tencent 7

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
bl 16E27465FC02E6974704FD2187E92144 1097272
addsgn 1A5BB19A55835B8CF42B69B088CB5F05CC9E4A0976AC948942C529BF1DD6994A95E83CA17A7195485F87D27706A2B60524542E2C97DEB07A7AFCD80BCB8D6577 8 tencent 7

zoo %SystemDrive%\USERS\FUJITSU\APPDATA\ROAMING\IEVRGVTI\VSHVERVC.EXE
bl 46F2F38F5A5666888C78AFEF229D9A6F 180224
addsgn 1AEB6D9A5583348CF42BFB3A884BFE0DACF7007FFC02940D8948B8B4DB9B618DCA102851B3CE9D492B80E29029102FF51291F8145AB5E60C4B78CB71F7602D0C 8 Trojan.Win32.Khalesi.gen [Kaspersky] 7

zoo %SystemDrive%\USERS\FUJITSU\DESKTOP\AUTOLOGGER-TEST\AUTOLOGGER\AVZ\QUARANTINE\2018-10-02\AVZ00001.DTA
bl 39E40099792B3225B89DA60B241AAC1A 267776
chklst
delvir

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Соберите и прикрепите контрольный лог uVS.

@h1k10 · 08.10.2018, 17:12 **[ТС]**

Log

@Sandor · 09.10.2018, 08:14

Вы прикрепили отчет выполнения скрипта, спасибо. Теперь сделайте повторный контрольный лог также, как в вашем сообщении №5.

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,081
	03.10.2018, 12:47	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя h1k10. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('c:\programdata\{24AED278-9B3F-91A0-3754-BF0883FCE6A0}\891102e7.exe',''); QuarantineFile('C:\Users\Fujitsu\AppData\Roaming\ievrgvti\vshvervc.exe',''); DeleteFile('C:\Users\Fujitsu\AppData\Roaming\ievrgvti\vshvervc.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jsfyd','x32'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cpuminer','x32'); DeleteFile('c:\programdata\{24AED278-9B3F-91A0-3754-BF0883FCE6A0}\891102e7.exe','32'); DeleteSchedulerTask('{B8BEFA48-B30F-0DB0-3754-BF0883FCE6A0}'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! Подготовьте новый CollectionLog. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,081
	05.10.2018, 08:29	4
	Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы. Подготовьте лог uVS. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,081
	09.10.2018, 08:14	8
	Вы прикрепили отчет выполнения скрипта, спасибо. Теперь сделайте повторный контрольный лог также, как в вашем сообщении №5. 0