Вирус, который создает ярлык флешки на самой флешке

@Ринка · Регистрация: 23.01.2015

Здравствуйте! Прошу вашей
Вирус характеризуется тем, что при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки. При чем этот ярлык создается именно в тот момент, когда флешка вставляется, даже отформатированная до того.
Антивирус этот ярлык распознает и удаляет, в итоге получается, что доступ к файлам пропал вместе с ярлыком, но место они занимают.
Пожалуйста, помогите разрешить эту проблему.

@severnyj · 23.01.2015, 09:36

выполните Правила запроса о помощи.

@Ринка · 23.01.2015, 10:23 **[ТС]**

Здравствуйте! Прошу помощи ваших специалистов.
Появился новый вирус. Он характеризуется тем, что при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки. Причем, этот ярлык создается именно в тот момент, когда флешка вставляется, даже отформатированная до того.
Антивирус этот ярлык распознает и удаляет, в итоге получается, что доступ к файлам пропал вместе с ярлыком, но место они занимают.
Пожалуйста, помогите разрешить эту проблему.

Прикрепляю скриншоты, как он выглядит на флешке, как лежат файлы (адрес остается как буд-то в корневом)

Прикрепляю логи, согласно требованиям вашего сайта. Здесь Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@severnyj · 23.01.2015, 10:27

Прочитайте внимательно правила. И не плодите темы. Нужен архив с логом программы Autologger

@Ринка · 23.01.2015, 10:58 **[ТС]**

Aрхив с логом

@severnyj · 23.01.2015, 11:28

Так-то лучше, ожидайте, скоро отвечу

Добавлено через 24 минуты
Внимание! Рекомендации написаны специально для пользователя Ринка . Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\gcddtsvk\oiusesfc.exe', '');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\oiusesfc.exe', '');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccenxw.com', '');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\newSI_620\s_inst.exe', '');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\newSI_620\s_inst.exe', '32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccenxw.com', '32');
 DeleteFile('C:\WINDOWS\tasks\newSI_620.job', '32');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\oiusesfc.exe', '32');
 DeleteFile('C:\Program Files\gcddtsvk\oiusesfc.exe', '32');
 DeleteFileMask('C:\Program Files\gcddtsvk\', '*', true);
 DeleteDirectory('C:\Program Files\gcddtsvk\');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\newSI_620\', '*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\newSI_620\');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '40913');
BC_ImportAll;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\gcddtsvk\oiusesfc.exe
O4 - HKLM\..\Policies\Explorer\Run: [40913] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccenxw.com
O4 - Startup: oiusesfc.exe

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

@Ринка · 23.01.2015, 11:46 **[ТС]**

Спасибо большое, отрабатываем

Добавлено через 15 минут
После перезагрузки ПК, скрипт вставлять в АВЗ (Файл - Выполнить скрипт)?

@severnyj · 23.01.2015, 11:50

Этот:

Сообщение от severnyj

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

да в АВЗ

@Ринка · 23.01.2015, 12:53 **[ТС]**

Файл сильно много весит.

@severnyj · 23.01.2015, 12:59

Упакуйте в архив

@Ринка · 23.01.2015, 13:05 **[ТС]**

Файл логов тоже на почту можно отправить?

@severnyj · 23.01.2015, 13:07

Упакуйте в архив и тут прикрепите. Думаю поместится. Не поместится, тогда высылайте.

@Ринка · 23.01.2015, 13:15 **[ТС]**

Файл логов

@severnyj · 23.01.2015, 13:29

Гм... У Вас заражение файловым вирусом. Пролечитесь таким образом (предпочтение либо LiveCD от DrWeb, либо CureIt)
Займет по времени несколько часов.

Затем заново скачайте MBAM установите и сделайте новый лог.

@Ринка · 23.01.2015, 13:32 **[ТС]**

Спасибо. Сейчас этим займусь.

@severnyj 3696 / 1954 / 297 Регистрация: 04.04.2012 Сообщений: 7,255
	23.01.2015, 09:36	2
	выполните Правила запроса о помощи. 0

@severnyj 3696 / 1954 / 297 Регистрация: 04.04.2012 Сообщений: 7,255
	23.01.2015, 10:27	4
	Прочитайте внимательно правила. И не плодите темы. Нужен архив с логом программы Autologger 0

@severnyj 3696 / 1954 / 297 Регистрация: 04.04.2012 Сообщений: 7,255
	23.01.2015, 11:28	6
	Так-то лучше, ожидайте, скоро отвечу Добавлено через 24 минуты Внимание! Рекомендации написаны специально для пользователя Ринка . Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\gcddtsvk\oiusesfc.exe', ''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\oiusesfc.exe', ''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccenxw.com', ''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\newSI_620\s_inst.exe', ''); DeleteFile('C:\Documents and Settings\Admin\Application Data\newSI_620\s_inst.exe', '32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccenxw.com', '32'); DeleteFile('C:\WINDOWS\tasks\newSI_620.job', '32'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\oiusesfc.exe', '32'); DeleteFile('C:\Program Files\gcddtsvk\oiusesfc.exe', '32'); DeleteFileMask('C:\Program Files\gcddtsvk\', '', true); DeleteDirectory('C:\Program Files\gcddtsvk\'); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\newSI_620\', '', true); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\newSI_620\'); if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '40913'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): Код F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\gcddtsvk\oiusesfc.exe O4 - HKLM\..\Policies\Explorer\Run: [40913] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccenxw.com O4 - Startup: oiusesfc.exe Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: Код %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM. Подробнее читайте в руководстве. 0

@Ринка 0 / 0 / 0 Регистрация: 23.01.2015 Сообщений: 8
	23.01.2015, 11:46 [ТС]	7
	Спасибо большое, отрабатываем Добавлено через 15 минут После перезагрузки ПК, скрипт вставлять в АВЗ (Файл - Выполнить скрипт)? 0

@severnyj 3696 / 1954 / 297 Регистрация: 04.04.2012 Сообщений: 7,255
	23.01.2015, 11:50	8
	Этот: Сообщение от severnyj begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. да в АВЗ 0

@Ринка 0 / 0 / 0 Регистрация: 23.01.2015 Сообщений: 8
	23.01.2015, 12:53 [ТС]	9
	Файл сильно много весит. 0

@severnyj 3696 / 1954 / 297 Регистрация: 04.04.2012 Сообщений: 7,255
	23.01.2015, 12:59	10
	Упакуйте в архив 0

@Ринка 0 / 0 / 0 Регистрация: 23.01.2015 Сообщений: 8
	23.01.2015, 13:05 [ТС]	11
	Файл логов тоже на почту можно отправить? 0

@severnyj 3696 / 1954 / 297 Регистрация: 04.04.2012 Сообщений: 7,255
	23.01.2015, 13:07	12
	Упакуйте в архив и тут прикрепите. Думаю поместится. Не поместится, тогда высылайте. 0

@severnyj 3696 / 1954 / 297 Регистрация: 04.04.2012 Сообщений: 7,255
	23.01.2015, 13:29	14
	Гм... У Вас заражение файловым вирусом. Пролечитесь таким образом (предпочтение либо LiveCD от DrWeb, либо CureIt) Займет по времени несколько часов. Затем заново скачайте MBAM установите и сделайте новый лог. 0

Опции темы

@Ринка 0 / 0 / 0 Регистрация: 23.01.2015 Сообщений: 8
	23.01.2015, 13:32 [ТС]	15
	Спасибо. Сейчас этим займусь. 0