Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
1

Замена папок на исполняемые файлы со скрытием реальных папок

08.10.2018, 20:13. Просмотров 129. Ответов 14
Метки нет (Все метки)

Добрый вечер, на старом компьютере появился вирус, который портит флешки. Все папки заменяются на исполняемые файлы и значок как папка, а сами папки стают скрытыми. С помощью батника удается восстановить данные на флешке. Каждый раз делать данную операцию не получится. В таких случаях я чаще всего переустанавливал windows - но на этом нетбуке не получится. Есть ли способ вылечить данную машину?
Лог прилагается
0
Вложения
Тип файла: zip CollectionLog-2018.10.08-20.51.zip (42.9 Кб, 2 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
08.10.2018, 20:13
Ответы с готовыми решениями:

Вирус создаёт exe файлы, замаскированные под названия папок
Добрый день. Собственно, суть проблемы: Вирус создавал exe файлы, замаскированные под папку, в...

Вирус создает на флешках файлы с названиями папок и расширением .vbs
Здравствуйте, с недавнего времени на нескольких компьютерах локальной сети появился вирус, который...

Процесс calc.exe, экран смерти 0х00000124 и замена файлов и папок на ярлыки вирус
Недавно столкнулся с проблемой большого количества процессов calc.exe в диспетчере задач!полечился...

Вирус создает ярлыки на флешке вместо папок и скрывает файлы и папки
Пожалуйста помогите излечить комп. замаялса уже. антивирус не лечит. при вставлении флешки на ней в...

Вирус создает пустые копии папок на флешке и скрывает настоящие файлы и папки
Началось все с того, что я воткнул в комп флэшку с вирусом(разумеется я не знал, что она заражена)....

14
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
08.10.2018, 21:33 2
Выполните скрипт в AVZ из папки Autologger
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\win\lsass.exe');
QuarantineFile('C:\WINDOWS\Resources\Themes\Dzart KungFuPanda\KungFuPandalogonui\logonui.exe','');
  QuarantineFile('c:\win\lsass.exe','');
 DeleteFile('c:\win\lsass.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','run32','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
1
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
09.10.2018, 08:41  [ТС] 3
Сделано, уже есть прогресс - флешка не попортилась
0
Вложения
Тип файла: zip CollectionLog-2018.10.09-09.31.zip (42.3 Кб, 1 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
09.10.2018, 21:01 4
Скачайте Farbar Recovery Scan Tool https://i.imgur.com/NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
https://i.imgur.com/3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
1
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
10.10.2018, 11:23  [ТС] 5
Готово
0
Вложения
Тип файла: 7z Archive.7z (250 байт, 1 просмотров)
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
10.10.2018, 17:57 6
Утилита до конца не отработала? В архиве пустые логи.
0
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
10.10.2018, 18:08  [ТС] 7
все закончилось штатно, возможно при копировании произошел сбой, утром повторю
0
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
11.10.2018, 06:53  [ТС] 8
Перезалил
0
Вложения
Тип файла: 7z Archive.7z (13.7 Кб, 1 просмотров)
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
11.10.2018, 14:47 9
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {063656d0-db05-11e0-9db8-001a13b206c9} - E:\BMW///sedistabela.exe
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {0be66a50-e818-11df-9cb9-001a13b206c9} - E:\BMW///sedistabela.exe
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {163400f0-c7ee-11e4-9e07-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {211a9ca0-6f2f-11e6-9eca-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {249fdc50-a9fc-11e3-9e01-001a13b206c9} - E:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2088.1.A01B06 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {279e19f0-60cc-11e5-9e76-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {2d1ffad0-d9bd-11e4-9e26-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {3a3eed70-c802-11df-9ca3-001a13b206c9} - E:\PRZHI\\\\hladi.exe
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {71768d30-d437-11df-9cab-001a13b206c9} - E:\PISTOLATO\kalibar.exe
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {a0cfdae0-15b0-11e7-9f0b-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {b4276811-db90-11e4-9e2a-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {c23bb7c0-cbf7-11e4-9e11-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {c3a3bdc0-6cae-11e3-9dfc-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {ce130820-caed-11e8-a007-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {d33124c0-3f61-11e1-9dda-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {d55babd0-512d-11e8-9fc5-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {db971890-e979-11df-9cbe-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {dbb7fde0-cbec-11df-9ca4-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKU\S-1-5-21-1060284298-507921405-1708537768-500\...\MountPoints2: {e9669670-a044-11e8-9fe3-001a13b206c9} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== ATTENTION
    SearchScopes: HKLM -> DefaultScope value is missing
    BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
    BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
    Toolbar: HKU\S-1-5-21-1060284298-507921405-1708537768-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
1
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
11.10.2018, 15:50  [ТС] 10
готово
0
Вложения
Тип файла: txt Fixlog.txt (11.7 Кб, 1 просмотров)
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
11.10.2018, 18:58 11
Что с проблемой?
0
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
11.10.2018, 19:13  [ТС] 12
Проблема не наблюдается
0
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
12.10.2018, 19:16 13
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
0
phantom_hald
0 / 0 / 0
Регистрация: 20.01.2018
Сообщений: 40
13.10.2018, 09:53  [ТС] 14
Сделано
0
Вложения
Тип файла: txt SecurityCheck.txt (7.4 Кб, 2 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
13.10.2018, 15:52 15
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.3.183.7 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.22.87 Внимание! Скачать обновления
Adobe Reader 8 - Russian v.8.0.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera 11.51 v.11.51.1087 Внимание! Скачать обновления
Исправляйте указанное + Рекомендации после удаления вредоносного ПО
0
13.10.2018, 15:52
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.10.2018, 15:52

Создаются подозрительные исполняемые файлы
Здравствуйте, прошу помощи с лечением порядком надоевшего вируса, подхваченного после неосторожного...

Баннер.СМС. не запускаются исполняемые файлы
ось WinXP SP2. браузер ОПера 10. Так и не понял откуда он взялся. Видимо после попытки закачать...

Не видно папок
Привет всем! Проблема примерно такова же как и в топике...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru