Вирус из флешки DriveMgr.exe

@Aska1 · Регистрация: 12.01.2023

Студворк — интернет-сервис помощи студентам

Всем Привет!
Подключил флешку. Содержимое флешки были скрыты в папке Init. По незнанию запустил файл, скопировал содержимое на рабочий стол, чтобы перекинуть на другую флешку. Теперь с той флешкой тоже самое, все содержимое ушло в такой же файл Init.
Пытался форматировать флешку. Флешка не дается на форматирование, выходят ошибки, что используется другой программой.

Из свойств ярлыка на флешке "%windir%\system32\cmd.exe /c start __ & __\DriveMgr.exe & exit"

Прогуглил DriveMgr.exe пишут что это криптомайнер. Ноут начал шумнее работать.

Как лечить?!
Если я снесу Винду, останется ли вирус?

@Aska1 · 12.01.2023, 08:14 **[ТС]**

Прикрепляю лог.

@Sandor · 12.01.2023, 11:26

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Aska1. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\9549185928673\sihost.exe');
 QuarantineFile('c:\9549185928673\sihost.exe', '');
 QuarantineFile('C:\Windows\Clean\CleanTemp.vbs', '');
 QuarantineFileF('c:\9549185928673\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteSchedulerTask('Microsoft\Windows\Clean\Cleans temporal directories');
 DeleteFile('c:\9549185928673\sihost.exe', '32');
 DeleteFile('C:\Windows\Clean\CleanTemp.vbs', '64');
 DeleteFileMask('c:\9549185928673\', '*', true);
 DeleteDirectory('c:\9549185928673\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Host Process for Windows Services', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Host Process for Windows Services', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Host Process for Windows Services', 'x32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
1
2
3
4
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@Aska1 · 12.01.2023, 12:25 **[ТС]**

Спасибо большое Sandor. Воспользуюсь скриптом.
Как я понял ( я только начал немного разбираться в программировании, и пока еще не особо продвинутый юзер), но скрипт кажется делает то, что я уже начал делать в ручную.
Например я пытаюсь очистить папку C/Windows/Temp. Там лежит папка " {1B2BEE3A-FEAB-4111-8150-07F37D8784B1} " которая не удаляется ибо на нее у меня нет права доступа, не получается через свойства это как то пофиксить. Выдает сообщение "У вас нет разрешения на просмотр или изменение текущих разрешении для этого объекта".
Связано ли это как то с вирусом? И как мне удалить эту подозрительную папку?

@Sandor · 12.01.2023, 12:31

Выполните рекомендации, позже, если останутся проблемы, подумаем.

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@Aska1 0 / 0 / 0 Регистрация: 12.01.2023 Сообщений: 3

	Вирус из флешки DriveMgr.exe 12.01.2023, 08:04. Показов 6114. Ответов 4 Метки нет (Все метки) Всем Привет! Подключил флешку. Содержимое флешки были скрыты в папке Init. По незнанию запустил файл, скопировал содержимое на рабочий стол, чтобы перекинуть на другую флешку. Теперь с той флешкой тоже самое, все содержимое ушло в такой же файл Init. Пытался форматировать флешку. Флешка не дается на форматирование, выходят ошибки, что используется другой программой. Из свойств ярлыка на флешке "%windir%\system32\cmd.exe /c start __ & __\DriveMgr.exe & exit" Прогуглил DriveMgr.exe пишут что это криптомайнер. Ноут начал шумнее работать. Как лечить?! Если я снесу Винду, останется ли вирус? 0

@Aska1 0 / 0 / 0 Регистрация: 12.01.2023 Сообщений: 3
	12.01.2023, 12:25 [ТС]
	Спасибо большое Sandor. Воспользуюсь скриптом. Как я понял ( я только начал немного разбираться в программировании, и пока еще не особо продвинутый юзер), но скрипт кажется делает то, что я уже начал делать в ручную. Например я пытаюсь очистить папку C/Windows/Temp. Там лежит папка " {1B2BEE3A-FEAB-4111-8150-07F37D8784B1} " которая не удаляется ибо на нее у меня нет права доступа, не получается через свойства это как то пофиксить. Выдает сообщение "У вас нет разрешения на просмотр или изменение текущих разрешении для этого объекта". Связано ли это как то с вирусом? И как мне удалить эту подозрительную папку? 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	12.01.2023, 12:31
	Выполните рекомендации, позже, если останутся проблемы, подумаем. 0