Вирус создает ярлыки на флешке вместо папок и скрывает файлы и папки

@vetalzon · Регистрация: 12.11.2013

Author24 — интернет-сервис помощи студентам

Пожалуйста помогите излечить комп. замаялса уже. антивирус не лечит. при вставлении флешки на ней в место папок и файлов видны соответствующие ярлыки, а всё содержымое становится скрытым и системным.

@mike 1 · 12.11.2013, 23:30

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\VkontakteDJ\VKontakteDJ.exe','');
 QuarantineFile('C:\Users\FB84~1\AppData\Local\Temp\14405updait.vbs','');
 DeleteFile('C:\Users\FB84~1\AppData\Local\Temp\14405updait.vbs','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','14405updait');       
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;   
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код

O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKCU\..\Run: [14405updait] wscript.exe //B "C:\Users\FB84~1\AppData\Local\Temp\14405updait.vbs"

4. Ваш провайдер?

IP: 193.200.65.1
Город: Киев
Страна: Украина
Название провайдера: PE Center Paritet

5. Эти программы сами себе устанавливали?

Ticno Indexator
Ticno multibar
Ticno Tabs
TorrentExpress
VkontakteDJ

6. Подготовьте новый комплект логов согласно правилам раздела.

7. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

@vetalzon · 13.11.2013, 15:56 **[ТС]**

1. скрипт выполнил
2. архив quarantine.zip отправил на quarantine@safezone.cc
3. пофиксил указаные строчки но не нашол (соответственно не отметил):
O4 - HKCU\..\Run: [14405updait] wscript.exe //B "C:\Users\FB84~1\AppData\Local\Temp\14405updait.vbs"
4. название провайдера не знаю но наверное ето мой. я сейчас нахожусь в киеве но ето не надолго - здесь я временно (я на курсах)
5. TorrentExpress устанавлива сам, а по поводу других нет.
6. логи подготовил
7. Malwarebytes' Anti-Malware скачал, установил и сделал лог.
вроди все пункты получились, небыло никаких проблем.

вложыл только 4 файла 5-й не разрешыло, вложу его во втором письме
не могу вложить 5-й лог :-( даже в следующем письме

@mike 1 · 13.11.2013, 17:07

1. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код

O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

TorrentExpress устанавливал сам, а по поводу других нет.

2. Удалите тогда этот ярлык:

Код

C:\Users\Эльзара\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Запустить VkontakteDJ.lnk

3. Откройте панель управления => Выберите установка и удаление программ (программы и компоненты) => Удалите:

Код

Ticno Indexator
Ticno multibar
Ticno Tabs

4. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код

Обнаруженные ключи в реестре:  2
HKCR\Typelib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.

5. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

6. Проверьте эти файлы на virustotal

Код

D:\Тесты для сдачи екзамена\DTLite4461-0328.exe
E:\вет.лабаратория\книги\4 курс\микроба\Атлас по микробиологии\Microscopy.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

7.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

@vetalzon · 13.11.2013, 22:06 **[ТС]**

1.пофиксил
2.удалил ярлык
3.удалил программы
4.удалил выделеное
5.просканировал и создал лог
6.проверил:
https://www.virustotal.com/ru/... 384360670/
второго файла не нашел (его в указаном месте нету)
7.скачал AdwCleaner (by Xplode) просканировал комп, сделал отчет

по неизвесной мне причине не могу прикрепить файлы отчета :-(
может можно вам вышлать на мейл? укажыте пожалуйста куда.

@mike 1 · 13.11.2013, 23:13

Лог AdwCleaner загрузите сюда http://www.rghost.ru или попробуйте запаковать его в архив и прикрепить его здесь на форуме. Прикрепите лог MBAM после нового сканирования.

@vetalzon · 14.11.2013, 11:46 **[ТС]**

1.пофиксил
2.удалил ярлык
3.удалил программы
4.удалил выделеное
5.просканировал и создал лог
6.проверил:
https://www.virustotal.com/ru/... 384360670/
второго файла не нашел (его в указаном месте нету)
7.скачал AdwCleaner (by Xplode) просканировал комп, сделал отчет

@mike 1 · 14.11.2013, 12:01

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования поставьте галочки напротив тех программ, которые вам не нужны.
Затем нажмите на кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2. Подготовьте новый комплект логов согласно правилам раздела.

@vetalzon · 14.11.2013, 13:26 **[ТС]**

все сделал как Вы сказали
вот файлы:

@mike 1 · 14.11.2013, 14:02

1. Откройте панель управления => Установка и удаления программ (программы и компоненты) и удалите следующие записи (если они есть):

Код

Ticno Indexator-->C:\Program Files\Ticno\Indexator\Uninstall.exe
Ticno multibar-->C:\Program Files\Ticno\Multibar\uninstall.exe
Ticno Tabs-->C:\Program Files\Ticno\Tabs\Uninstall.exe

2. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код

O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

3. Для удаления следов Ticno Tabs нажмите на клавиатуре Win+R => Введите regedit => Откроется окно редактора реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg и удалите параметр multibar.exe. Затем откройте ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder и удалите C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk

4. Проверьте эти файлы на virustotal

Код

F:\AUTORUN.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

5. Сделайте новые логи RSIT

@vetalzon · 14.11.2013, 14:27 **[ТС]**

1. указаных записей нету
2. пофиксил строчки что вы указали
3. удалил в реестре то что указали
4. файл на диске F проверить не могу так как ето дисковод
5. сделал логи

@mike 1 · 14.11.2013, 14:35

Что с проблемой?

@vetalzon · 14.11.2013, 15:25 **[ТС]**

если с Вашей стороны все, то я больше не вижу ни каких проблем, вроди все работает, флешки видит нормально, ярлыки не делает.
большое спасибо за помощ!!!!

@mike 1 · 14.11.2013, 16:37

1. MBAM удалите через установка и удаление программ.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	12.11.2013, 23:30	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. 1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\VkontakteDJ\VKontakteDJ.exe',''); QuarantineFile('C:\Users\FB84~1\AppData\Local\Temp\14405updait.vbs',''); DeleteFile('C:\Users\FB84~1\AppData\Local\Temp\14405updait.vbs','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','14405updait'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 2. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. Код O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O4 - HKCU\..\Run: [14405updait] wscript.exe //B "C:\Users\FB84~1\AppData\Local\Temp\14405updait.vbs" 4. Ваш провайдер? IP: 193.200.65.1 Город: Киев Страна: Украина Название провайдера: PE Center Paritet 5. Эти программы сами себе устанавливали? Ticno Indexator Ticno multibar Ticno Tabs TorrentExpress VkontakteDJ 6. Подготовьте новый комплект логов согласно правилам раздела. 7. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: Код %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	13.11.2013, 17:07	4
	1. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. Код O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) TorrentExpress устанавливал сам, а по поводу других нет. 2. Удалите тогда этот ярлык: Код C:\Users\Эльзара\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Запустить VkontakteDJ.lnk 3. Откройте панель управления => Выберите установка и удаление программ (программы и компоненты) => Удалите: Код Ticno Indexator Ticno multibar Ticno Tabs 4. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете). Подробнее читайте в руководстве Код Обнаруженные ключи в реестре: 2 HKCR\Typelib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято. HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято. 5. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. 6. Проверьте эти файлы на virustotal Код D:\Тесты для сдачи екзамена\DTLite4461-0328.exe E:\вет.лабаратория\книги\4 курс\микроба\Атлас по микробиологии\Microscopy.exe кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 7. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 0

@vetalzon 0 / 0 / 0 Регистрация: 12.11.2013 Сообщений: 7
	13.11.2013, 22:06 [ТС]	5
	1.пофиксил 2.удалил ярлык 3.удалил программы 4.удалил выделеное 5.просканировал и создал лог 6.проверил: https://www.virustotal.com/ru/... 384360670/ второго файла не нашел (его в указаном месте нету) 7.скачал AdwCleaner (by Xplode) просканировал комп, сделал отчет по неизвесной мне причине не могу прикрепить файлы отчета :-( может можно вам вышлать на мейл? укажыте пожалуйста куда. 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	13.11.2013, 23:13	6
	Лог AdwCleaner загрузите сюда http://www.rghost.ru или попробуйте запаковать его в архив и прикрепить его здесь на форуме. Прикрепите лог MBAM после нового сканирования. 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	14.11.2013, 12:01	8
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования поставьте галочки напротив тех программ, которые вам не нужны. Затем нажмите на кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Подготовьте новый комплект логов согласно правилам раздела. 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	14.11.2013, 14:02	10
	1. Откройте панель управления => Установка и удаления программ (программы и компоненты) и удалите следующие записи (если они есть): Код Ticno Indexator-->C:\Program Files\Ticno\Indexator\Uninstall.exe Ticno multibar-->C:\Program Files\Ticno\Multibar\uninstall.exe Ticno Tabs-->C:\Program Files\Ticno\Tabs\Uninstall.exe 2. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. Код O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) 3. Для удаления следов Ticno Tabs нажмите на клавиатуре Win+R => Введите regedit => Откроется окно редактора реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg и удалите параметр multibar.exe. Затем откройте ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder и удалите C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk 4. Проверьте эти файлы на virustotal Код F:\AUTORUN.exe кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 5. Сделайте новые логи RSIT 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	14.11.2013, 14:35	12
	Что с проблемой? 0

@vetalzon 0 / 0 / 0 Регистрация: 12.11.2013 Сообщений: 7
	14.11.2013, 15:25 [ТС]	13
	если с Вашей стороны все, то я больше не вижу ни каких проблем, вроди все работает, флешки видит нормально, ярлыки не делает. большое спасибо за помощ!!!! 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	14.11.2013, 16:37	14
	1. MBAM удалите через установка и удаление программ. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. Подробнее читайте в этом разделе форума поддержки утилиты. 0