Все файлы на флешке стали ярлыками

26.01.2014, 19:41. **Показов** 3185. **Ответов** 1

Author24 — интернет-сервис помощи студентам

Есть проблема,все файлы на флешках стали ярлыками, а оригиналы пропали куда то, при просмотре скрытых файлов оригиналов нету, хотя, если прописать путь к оригиналам, всё хорошо заходит, но это может быть и действие вируса.
При открытии ярлыка, сначала открывается cmd.exe, который выполняет комманды и тут же ищезает,после этого открывается папка или файл оригинала.
Форматировать флешки пробовал, ни к чему хорошему не приводит, так же как и запись некоторых файлов, не записывает.
В свойствах файла объект прописан как
C:\Windows\system32\cmd.exe /c start sdvnbqyxng.vbs&start webcam-toy-photo46.jpg&exit
где "webcam-toy-photo46.jpg" - само название оригинала.
Пытался изменить на простой путь к папке, но при обновлении папки всё так же и остаётся.

прикрепляю файлы логов:
CollectionLog-2014.01.26-17.13.zip

report1.log

report2.log

@Sandor · 27.01.2014, 13:45

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 TerminateProcessByName('c:\programdata\teskmgr.exe');
 QuarantineFile('c:\programdata\teskmgr.exe','');
 QuarantineFile('C:\Users\3F9A~1\AppData\Local\Temp\sdvnbqyxng.vbs','');
 QuarantineFile('C:\Users\Бодя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\47a309ec633424204713b1ab7cea4cf3.exe','');
 QuarantineFile('C:\Users\Бодя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sdvnbqyxng.vbs','');
 DeleteFile('c:\programdata\teskmgr.exe');
 DeleteFile('C:\Users\3F9A~1\AppData\Local\Temp\sdvnbqyxng.vbs');
 DeleteFile('C:\Users\Бодя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\47a309ec633424204713b1ab7cea4cf3.exe');
 DeleteFile('C:\Users\Бодя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sdvnbqyxng.vbs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','47a309ec633424204713b1ab7cea4cf3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','47a309ec633424204713b1ab7cea4cf3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sdvnbqyxng');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sdvnbqyxng');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Пофиксите в HijackThis (если останутся) следующие строчки:

Код

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [sdvnbqyxng] wscript.exe //B "C:\Users\3F9A~1\AppData\Local\Temp\sdvnbqyxng.vbs"
O4 - HKLM\..\Run: [47a309ec633424204713b1ab7cea4cf3] "C:\ProgramData\teskmgr.exe" ..
O4 - HKCU\..\Run: [sdvnbqyxng] wscript.exe //B "C:\Users\3F9A~1\AppData\Local\Temp\sdvnbqyxng.vbs"
O4 - HKCU\..\Run: [47a309ec633424204713b1ab7cea4cf3] "C:\ProgramData\teskmgr.exe" ..

4. В командной строке, запущенной от имени администратора, введите:
attrib -s -h I:\* /s /d
и нажмите Enter.

I:\ - буква флешки. Если у вас другая - подставьте свою

5. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

bvvovk
		1
	Все файлы на флешке стали ярлыками 26.01.2014, 19:41. Показов 3185. Ответов 1 Метки нет (Все метки) Есть проблема,все файлы на флешках стали ярлыками, а оригиналы пропали куда то, при просмотре скрытых файлов оригиналов нету, хотя, если прописать путь к оригиналам, всё хорошо заходит, но это может быть и действие вируса. При открытии ярлыка, сначала открывается cmd.exe, который выполняет комманды и тут же ищезает,после этого открывается папка или файл оригинала. Форматировать флешки пробовал, ни к чему хорошему не приводит, так же как и запись некоторых файлов, не записывает. В свойствах файла объект прописан как C:\Windows\system32\cmd.exe /c start sdvnbqyxng.vbs&start webcam-toy-photo46.jpg&exit где "webcam-toy-photo46.jpg" - само название оригинала. Пытался изменить на простой путь к папке, но при обновлении папки всё так же и остаётся. прикрепляю файлы логов: CollectionLog-2014.01.26-17.13.zip report1.log report2.log

	27.01.2014, 13:45

Опции темы