0 / 0 / 0
Регистрация: 04.05.2017
Сообщений: 7
1

удаление drive.bat

04.05.2017, 22:06. Показов 4108. Ответов 12
Метки нет (Все метки)

Поймал вирус drive.bat с другого компьютера на флешку. С носителя перенес вирус на свой комп и другой носитель. Пытался удалить при помощи drWebcureit, но тщетно. Получится ли удалить его с компьютера и с двух носителей одновременно?
Вложения
Тип файла: zip CollectionLog-2017.05.05-00.51.zip (74.0 Кб, 9 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
04.05.2017, 22:06
Ответы с готовыми решениями:

Лечение или удаление вируса Drive.bat - Удаление вирусов
Здравствуйте. Помогите пожалуйста. Словил на флешку этот Driver.bat, который создает ярлыки. Еще и...

Лечение или удаление вируса Drive.bat
Добрый день, 2 дня тому назад получил в ЦОНе (центр обслуживания населения электронного...

Вирус Drive.bat, как удалить? - Удаление вирусов
Ноутбук заразился вирусом Drive.bat. Создает на всех флешках ярлыки.

Drive.bat
Доброго дня! На флешках, вставляемых в комп отображается drive.bat, папки превращаются в ярлыки....

12
Вирусоборец
18166 / 14341 / 2662
Регистрация: 08.10.2012
Сообщений: 58,430
05.05.2017, 09:53 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя asl01. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
__________________________________________________ ____

Через Панель управления - Удаление программ - удалите нежелательное ПО:
sCloudStatusCheck
Time tasks
Zaxar Games Browser

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     StopService('4F95964AA670BC08');
     QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\Аслан\AppData\Local\Temp\1DBA6EAD.sys', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
     QuarantineFile('C:\Users\Аслан\AppData\Local\Temp\1429542613.exe', '');
     QuarantineFile('C:\Users\1780~1\AppData\Local\Temp\cmss.exe', '');
     QuarantineFile('C:\Users\Аслан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
     QuarantineFile('C:\Users\Аслан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
     QuarantineFile('C:\Users\Аслан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
     QuarantineFile('C:\Users\Аслан\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
     QuarantineFile('C:\Users\Аслан\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
     QuarantineFile('C:\Users\Аслан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
     DeleteFile('C:\Users\Аслан\AppData\Local\Temp\1DBA6EAD.sys', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\Users\Аслан\AppData\Local\Temp\1429542613.exe', '32');
     DeleteFile('C:\Users\1780~1\AppData\Local\Temp\cmss.exe', '32');
     DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
     DeleteDirectory('c:\program files (x86)\zaxar');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSNetDDNowiz');
     DeleteService('4F95964AA670BC08');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!

  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  4. Подготовьте и прикрепите лог сканирования AdwCleaner.
1
0 / 0 / 0
Регистрация: 04.05.2017
Сообщений: 7
05.05.2017, 11:21  [ТС] 3
Сделано. Прикрепляю логи
Вложения
Тип файла: log ClearLNK-05.05.2017_13-59.log (7.7 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[S0].txt (7.5 Кб, 7 просмотров)
0
Вирусоборец
18166 / 14341 / 2662
Регистрация: 08.10.2012
Сообщений: 58,430
05.05.2017, 11:29 4
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2. Подготовьте новый CollectionLog.
0
0 / 0 / 0
Регистрация: 04.05.2017
Сообщений: 7
05.05.2017, 12:02  [ТС] 5
Сделано
Вложения
Тип файла: txt AdwCleaner[C0].txt (8.0 Кб, 7 просмотров)
Тип файла: zip CollectionLog-2017.05.05-14.58.zip (70.8 Кб, 2 просмотров)
0
Вирусоборец
18166 / 14341 / 2662
Регистрация: 08.10.2012
Сообщений: 58,430
05.05.2017, 12:08 6
1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код
begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Аслан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk', '');
 QuarantineFile('C:\Users\Аслан\AppData\Roaming\mqlghetyr\lcbgbc.js','');
 DeleteFile('C:\Users\Аслан\AppData\Roaming\mqlghetyr\lcbgbc.js','32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!


3.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 04.05.2017
Сообщений: 7
05.05.2017, 12:37  [ТС] 7
сделано
Вложения
Тип файла: zip FRST.zip (9.4 Кб, 1 просмотров)
Тип файла: zip Shortcut.zip (19.5 Кб, 1 просмотров)
Тип файла: zip Addition.zip (16.9 Кб, 1 просмотров)
0
Вирусоборец
18166 / 14341 / 2662
Регистрация: 08.10.2012
Сообщений: 58,430
05.05.2017, 12:57 8
  • Запустите FRST/FRST64
  • Нажмите комбинацию Ctrl+y - откроется Блокнот
  • Скопируйте в него следующий код:
    Код
    start
    CreateRestorePoint:
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.mail.ru/cnt/9516
    FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/search?fr=fftb&q=
    CHR Extension: (CinemaLoad) - C:\Users\Аслан\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-08-15]
    AlternateDataStreams: C:\Users\Аслан\Local Settings:wa [146]
    AlternateDataStreams: C:\Users\Аслан\AppData\Local:wa [146]
    AlternateDataStreams: C:\Users\Аслан\AppData\Local\Application Data:wa [146]
    EmptyTemp:
    Reboot:
    end
  • Сохраните (Ctrl+s) и закройте.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
05.05.2017, 14:17 9
- скачайте архив GetHJT_dump.zip, распакуйте его.
- в эту же папку скопируйте программу HiJackThis (она находится в папке автологгера ...\AutoLogger\HiJackThis\)
- запустите правой кнопкой мыши "От имени администратора" файл GetDump.bat
- получившийся файл Dumps.zip загрузите на файлообменник, например, File.Karelia и предоставьте ссылку.
1
0 / 0 / 0
Регистрация: 04.05.2017
Сообщений: 7
05.05.2017, 18:34  [ТС] 10
После перезагрузки выскочила ошибка

Can not find this script file
"C:\Users\Аслан\AppData\Roaming\mqlghetyr\lcbgc.js "
Вложения
Тип файла: txt Fixlog.txt (2.3 Кб, 2 просмотров)
0
0 / 0 / 0
Регистрация: 04.05.2017
Сообщений: 7
05.05.2017, 18:47  [ТС] 11
Цитата Сообщение от Dragokas Посмотреть сообщение
- скачайте архив GetHJT_dump.zip, распакуйте его.
- в эту же папку скопируйте программу HiJackThis (она находится в папке автологгера ...\AutoLogger\HiJackThis\)
- запустите правой кнопкой мыши "От имени администратора" файл GetDump.bat
- получившийся файл Dumps.zip загрузите на файлообменник, например, File.Karelia и предоставьте ссылку.
http://file.sampo.ru/t92rg7/
0
0 / 0 / 0
Регистрация: 04.05.2017
Сообщений: 7
07.05.2017, 22:10  [ТС] 12
Проблема решена!
Удалил CureIt-ом оставшиеся вирусы на флешках и удалил папки Drive. + восстановил скрытые элементы
Всем спасибо!
0
Вирусоборец
18166 / 14341 / 2662
Регистрация: 08.10.2012
Сообщений: 58,430
10.05.2017, 09:21 13
Для контроля подготовьте новый CollectionLog.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
10.05.2017, 09:21
Помогаю со студенческими работами здесь

Поймал Drive.bat
По глупости прохлопал момент заражения компьютера с флешки. Флешку почистил, а комп на такое идти...

Вирус drive.bat
в общем поглядел раздел, думаю знакомы с вирусом drive.bat, подхватил его на вузовском компе

Лечение drive.bat
Доброго дня. Подхватила где-то вирус drive.bat, который создает на флеш-носителях ярлыки...

Подхватил вирус drive.bat
Мать принесла флешку с рабочего пк, как только вставил в свой обнаружил сплошные ярлыки вместо...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru