Вирус создает виртуальные диски

@CjWasp · Регистрация: 17.05.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте, подхватил заразу, которая создает виртуальные приводы, штук по 50 при каждой загрузке (1 рис.), пытался удалять созданные диски через "Панель управления > Администрирование > Управление компьютером > управление дисками", там получается так, что стирается только буква диска и при следующей загрузке всё создается заново и при этом остаются старые приводы без буквы, в тоге у меня сейчас создано 256 виртуальных CD-ROMов (2 рис.)
Чем занимался Касперский в момент заражения, до сих пор понять не могу.
Диспетчер задач не открывается до тех пор, пока вирусняк не создаст все диски, поэтому проследить чья это активность не получается.
Пробовал Ccleaner-ом отключить все подозрительные элементы в автозагрузке - не помогло.
Сканировал Касперским - ничего не найдено, Скачивал Dr.Web Cureit - при сканировании в безопасном режиме нашел 22 зараженных файла, что-то там лечил, но проблему не устранил.
Подскажите пожалуйста, что мне делать?

@severnyj · 17.05.2015, 15:19

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@CjWasp · 17.05.2015, 21:06 **[ТС]**

Простите, вот Логи

@shestale · 18.05.2015, 10:22

Внимание! Рекомендации написаны специально для {{ts}}. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Users\Adminn\AppData\Roaming\newSI_657\', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Adminn\AppData\Roaming\newSI_657\s_inst.exe', '');
 QuarantineFile('C:\Users\Сергей\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Local\Amigo\Application\ok.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Local\Amigo\Application\amigo.exe','');
 QuarantineFile('C:\iехplоrе.bаt.exe', '');
 QuarantineFile('C:\Program Files (x86)\puntо.bаt.exe', '');
 QuarantineFile('', 'C:\Program Files (x86)\lаyоuts.bаt.exe');
 QuarantineFile('C:\Program Files (x86)\diаry.bаt.exe', '');
 QuarantineFile('C:\lаunсhеr.bаt.exe', '');
 QuarantineFile('C:\firеfох.bаt.exe', '');
 DeleteFile('C:\iехplоrе.bаt.exe');
 DeleteFile('C:\Program Files (x86)\puntо.bаt.exe');
 DeleteFile('C:\Program Files (x86)\lаyоuts.bаt.exe');
 DeleteFile('C:\Program Files (x86)\diаry.bаt.exe');
 DeleteFile('C:\lаunсhеr.bаt.exe');
 DeleteFile('C:\firеfох.bаt.exe');
 DeleteFile('C:\Users\Сергей\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Сергей\AppData\Local\Amigo\Application\ok.exe','32');
 DeleteFile('C:\Users\Сергей\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_657.job', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\newSI_657', '64');
 DeleteFile('C:\Users\Adminn\AppData\Roaming\newSI_657\s_inst.exe', '32');
 DeleteFileMask('C:\Users\Adminn\AppData\Roaming\newSI_657\', '*', true);
 DeleteDirectory('C:\Users\Adminn\AppData\Roaming\newSI_657\');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3848773958-4260673554-3518929265-1001\Software\Microsoft\Windows\CurrentVersion\Run','besdebyoqi');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@CjWasp · 18.05.2015, 11:01 **[ТС]**

Отправил файл quarantine.zip с помощью формы отправки.

@shestale · 18.05.2015, 11:03

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@CjWasp · 18.05.2015, 13:22 **[ТС]**

как только нажимаю кнопку "очистить" появляется вот такая картинка

@shestale · 18.05.2015, 13:51

А после перезагрузки лог C:\AdwCleaner\AdwCleaner[S0].txt создается?

@CjWasp · 18.05.2015, 14:35 **[ТС]**

нет не создается

@shestale · 18.05.2015, 14:36

Ок, тогда сделайте эти логи

Сообщение от shestale

Подготовьте логи Farbar Recovery Scan Tool

@CjWasp · 18.05.2015, 14:44 **[ТС]**

Готово

@shestale · 18.05.2015, 14:54

Выполните скрипт в Farbar Recovery Scan Tool

Код

start
CreateRestorePoint:
AlternateDataStreams: C:\Users\Adminn\AppData\Local\Temp:uAc0VAb1TpdzmI4jzB
AlternateDataStreams: C:\Users\Adminn\AppData\Local\x3NITjeDVJGBvX6:DTHVTak7BdbjdZypBPS
AlternateDataStreams: C:\Users\Сергей\AppData\Local\Temp:uAc0VAb1TpdzmI4jzB
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-13]
CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
2015-04-20 10:53 - 2015-04-20 10:53 - 00000000 ____D () C:\Users\Adminn\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
2015-04-20 10:53 - 2015-04-20 10:53 - 00000000 ____D () C:\Users\Adminn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa
2015-04-20 10:52 - 2015-05-16 22:19 - 00000000 ____D () C:\Users\Adminn\AppData\Local\Kometa
2015-05-18 13:48 - 2015-03-29 17:00 - 00000000 ____D () C:\Users\Adminn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
C:\Users\Adminn\AppData\Local\Temp\lJZ59T57aknA.exe
C:\Users\Adminn\AppData\Local\Temp\NXaXs0bj5DsN.exe
C:\Users\Adminn\AppData\Local\Temp\phnx_tmp.exe
C:\Users\Adminn\AppData\Local\Temp\tmp19F5.exe
C:\Users\Adminn\AppData\Local\Temp\tmp4287.exe
C:\Users\Adminn\AppData\Local\Temp\tmp4C48.exe
C:\Users\Adminn\AppData\Local\Temp\tmp7DEB.exe
C:\Users\Adminn\AppData\Local\Temp\tmpB7A2.exe
C:\Users\Adminn\AppData\Local\Temp\utt411E.tmp.exe
EmptyTemp:
Reboot:
end

+
Попробуйте еще раз удалить в AdwCleaner.

@CjWasp · 18.05.2015, 15:20 **[ТС]**

AdwCleaner по прежнему вызвал тот-же синий экран

@shestale · 18.05.2015, 16:43

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@CjWasp · 18.05.2015, 18:09 **[ТС]**

Вроде так

@shestale · 18.05.2015, 18:42

Чисто.
Попробуйте еще раз скачать AdwCleaner, запустить проверку, а потом чистку.

@CjWasp · 18.05.2015, 19:14 **[ТС]**

Удалил, снова скачал adwcleaner_4.204. кнопка "очистить" по прежнему вызывает какую-то ошибку и комп перезагружается. может галочку надо снять с чего-то? может попробовать более раннюю версию программы?

@shestale · 19.05.2015, 07:16

А вы ее точно на рабочем столе сохраняете, как написано в инструкции?

Сообщение от shestale

сохраните на рабочий стол.

А запускаете ее точно по ПКМ как написано в инструкции?

Сообщение от shestale

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

@CjWasp · 19.05.2015, 08:55 **[ТС]**

Да, вы правы, торопился и запускал программу с папки загрузок. С рабочего стола очистка запустилась.

@shestale · 19.05.2015, 09:06

Хорошо.
Почистите кэш и куки в браузерах.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

@CjWasp 0 / 0 / 0 Регистрация: 17.05.2015 Сообщений: 12
		1
	Вирус создает виртуальные диски 17.05.2015, 13:54. Показов 7226. Ответов 23 Метки нет (Все метки) Здравствуйте, подхватил заразу, которая создает виртуальные приводы, штук по 50 при каждой загрузке (1 рис.), пытался удалять созданные диски через "Панель управления > Администрирование > Управление компьютером > управление дисками", там получается так, что стирается только буква диска и при следующей загрузке всё создается заново и при этом остаются старые приводы без буквы, в тоге у меня сейчас создано 256 виртуальных CD-ROMов (2 рис.) Чем занимался Касперский в момент заражения, до сих пор понять не могу. Диспетчер задач не открывается до тех пор, пока вирусняк не создаст все диски, поэтому проследить чья это активность не получается. Пробовал Ccleaner-ом отключить все подозрительные элементы в автозагрузке - не помогло. Сканировал Касперским - ничего не найдено, Скачивал Dr.Web Cureit - при сканировании в безопасном режиме нашел 22 зараженных файла, что-то там лечил, но проблему не устранил. Подскажите пожалуйста, что мне делать? Миниатюры 0

@severnyj 3865 / 2085 / 338 Регистрация: 04.04.2012 Сообщений: 7,668
	17.05.2015, 15:19	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@shestale 8616 / 4185 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.05.2015, 11:03	6
	Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 0

@CjWasp 0 / 0 / 0 Регистрация: 17.05.2015 Сообщений: 12
	18.05.2015, 13:22 [ТС]	7
	как только нажимаю кнопку "очистить" появляется вот такая картинка Миниатюры 0

@shestale 8616 / 4185 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.05.2015, 13:51	8
	А после перезагрузки лог C:\AdwCleaner\AdwCleaner[S0].txt создается? 0

@CjWasp 0 / 0 / 0 Регистрация: 17.05.2015 Сообщений: 12
	18.05.2015, 14:35 [ТС]	9
	нет не создается 0

@shestale 8616 / 4185 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.05.2015, 14:36	10
	Ок, тогда сделайте эти логи Сообщение от shestale Подготовьте логи Farbar Recovery Scan Tool 0

@shestale 8616 / 4185 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.05.2015, 16:43	14
	Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@shestale 8616 / 4185 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.05.2015, 18:42	16
	Чисто. Попробуйте еще раз скачать AdwCleaner, запустить проверку, а потом чистку. 0

@shestale 8616 / 4185 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.05.2015, 07:16	18
	А вы ее точно на рабочем столе сохраняете, как написано в инструкции? Сообщение от shestale сохраните на рабочий стол. А запускаете ее точно по ПКМ как написано в инструкции? Сообщение от shestale !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". 0

@shestale 8616 / 4185 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.05.2015, 09:06	20
	Хорошо. Почистите кэш и куки в браузерах. + Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. 0