0 / 0 / 0
Регистрация: 02.01.2018
Сообщений: 6
1

Лечение или удаление вируса Drive.bat - Удаление вирусов

02.01.2018, 20:58. Показов 1234. Ответов 10
Метки нет (Все метки)

Здравствуйте. Помогите пожалуйста. Словил на флешку этот Driver.bat, который создает ярлыки. Еще и перекинул все на комп. Пробовал просканировать с AVZ, но ничего не находит. Еще перестали открываться реестр и автозапуск. Вернее реестр открывается и сразу закрывается. Автозапуск вроде вообще не открывается. Скачал adwcleaner_7.0.6.0, хотел запустить, но он тоже открывается и сразу закрывается. Заранее спасибо
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
02.01.2018, 20:58
Ответы с готовыми решениями:

Лечение или удаление вируса Drive.bat
Добрый день, 2 дня тому назад получил в ЦОНе (центр обслуживания населения электронного...

Вирус Drive.bat, как удалить? - Удаление вирусов
Ноутбук заразился вирусом Drive.bat. Создает на всех флешках ярлыки.

удаление drive.bat
Поймал вирус drive.bat с другого компьютера на флешку. С носителя перенес вирус на свой комп и...

Удаление rusearcher.com из Google Chrome - Лечение компьютерных вирусов
При загрузке программы с пиратских сайтов залез rusearcher.com в (Настройки--Поиск--Настроить...

10
0 / 0 / 0
Регистрация: 02.01.2018
Сообщений: 6
02.01.2018, 21:00  [ТС] 2
Файл с логами отправляю
Вложения
Тип файла: zip CollectionLog-2018.01.02-23.49.zip (67.5 Кб, 3 просмотров)
0
Вирусоборец
10721 / 6100 / 1255
Регистрация: 06.09.2009
Сообщений: 23,621
02.01.2018, 21:08 3
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\Сергей\СЕРГЕЙ-ПК\СЕРГЕЙ-ПК.exe');
 TerminateProcessByName('c:\users\Сергей\appdata\local\qb00f0b4.df\minerd.exe');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\giixxs\ivbvgbyho.js','');
 QuarantineFile('c:\users\Сергей\СЕРГЕЙ-ПК\СЕРГЕЙ-ПК.exe','');
 QuarantineFile('c:\users\Сергей\appdata\local\qb00f0b4.df\minerd.exe','');
 DeleteFile('c:\users\Сергей\appdata\local\qb00f0b4.df\minerd.exe','32');
 DeleteFile('c:\users\Сергей\СЕРГЕЙ-ПК\СЕРГЕЙ-ПК.exe','32');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\giixxs\ivbvgbyho.js','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CpuCoin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
1
0 / 0 / 0
Регистрация: 02.01.2018
Сообщений: 6
02.01.2018, 21:47  [ТС] 4
Отправил quarantine.zip с помощью формы. Отправляю новые логи. Спасибо
Вложения
Тип файла: zip CollectionLog-2018.01.03-00.45.zip (68.7 Кб, 2 просмотров)
0
Вирусоборец
10721 / 6100 / 1255
Регистрация: 06.09.2009
Сообщений: 23,621
02.01.2018, 22:26 5
Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
1
0 / 0 / 0
Регистрация: 02.01.2018
Сообщений: 6
03.01.2018, 07:06  [ТС] 6
Отправляю архив
Вложения
Тип файла: rar Desktop.rar (24.7 Кб, 2 просмотров)
0
Вирусоборец
10721 / 6100 / 1255
Регистрация: 06.09.2009
Сообщений: 23,621
03.01.2018, 16:38 7
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-613006504-786806319-351473202-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
2018-01-02 23:25 - 2018-01-02 23:25 - 000000000 ____D C:\Users\Сергей\AppData\Local\qb00F0B4.DF
2018-01-02 22:19 - 2018-01-02 22:19 - 000000000 ____D C:\Users\Сергей\AppData\Local\qb00F49A.FA
2018-01-02 13:44 - 2018-01-03 00:35 - 000000000 ___HD C:\Users\Сергей\AppData\Roaming\giixxs
2018-01-02 13:51 - 2018-01-02 13:51 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsignacd3ba60f3a1edad
2018-01-02 13:51 - 2018-01-02 13:51 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign861a2d722b28856d
2017-12-08 12:52 - 2017-12-08 12:52 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign857663d34d634f00
2017-12-08 12:52 - 2017-12-08 12:52 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign1b67fdcc78a9ce10
2017-12-08 12:42 - 2017-12-08 12:42 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign956df6c9a3caadc1
2017-12-08 12:37 - 2017-12-08 12:37 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign979bae470614afdf
2017-12-08 12:37 - 2017-12-08 12:37 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign1b2ec5576aeb2140
2017-12-06 10:29 - 2017-12-06 10:29 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign74fb97fae573c80c
2017-12-06 10:23 - 2017-12-06 10:23 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign0a59b494f07715a1
2017-12-06 10:23 - 2017-12-06 10:23 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign07bd05f7d4a84a50
2017-11-27 10:51 - 2017-11-27 10:51 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsignbef7606bde7453b1
2017-11-27 09:59 - 2017-11-27 09:59 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign8890fda80a9793ef
2017-11-27 09:58 - 2017-11-27 09:58 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign0e8a4a241aedc087
2017-11-27 09:57 - 2017-11-27 09:57 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsignbc661102b6598776
2017-11-27 09:57 - 2017-11-27 09:57 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsignb40885a256aead26
2017-11-27 09:57 - 2017-11-27 09:57 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign2ef4194be46a815e
2017-11-21 11:08 - 2017-11-21 11:08 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign92845542d0c7b0e9
2017-11-21 11:08 - 2017-11-21 11:08 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign308d969d62409099
2017-11-20 17:12 - 2017-11-20 17:12 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign9aa882b5402e1b4d
2017-11-20 17:11 - 2017-11-20 17:11 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign7a6c005b5b772ba6
2017-11-20 17:11 - 2017-11-20 17:11 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign6e555d4f39f2195f
2017-11-20 12:37 - 2017-11-20 12:37 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign986ec01ea4b44d09
2017-11-20 12:37 - 2017-11-20 12:37 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign2fab8383c96adcaa
2017-11-20 12:20 - 2017-11-20 12:20 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign566d8c1fcb87eed1
2017-11-20 12:20 - 2017-11-20 12:20 - 000000000 ____D C:\Users\Сергей\AppData\Local\Tempzxpsign3a1f368c8935d696
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
1
0 / 0 / 0
Регистрация: 02.01.2018
Сообщений: 6
03.01.2018, 20:05  [ТС] 8
Извините, что так долго. Отправляю fixlog. Единственное хотел уточнить, реестр и автозапуск уже открываются. Удалил эти ярлыки на флешке и они снова не создаются. Проблема уже решена или как?
Вложения
Тип файла: txt Fixlog.txt (7.8 Кб, 2 просмотров)
0
Вирусоборец
10721 / 6100 / 1255
Регистрация: 06.09.2009
Сообщений: 23,621
03.01.2018, 22:33 9
Значит решена.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
1
0 / 0 / 0
Регистрация: 02.01.2018
Сообщений: 6
03.01.2018, 23:20  [ТС] 10
Отправляю этот файл SecurityCheck.txt
Спасибо большое за помощь.
Вложения
Тип файла: txt SecurityCheck.txt (15.2 Кб, 2 просмотров)
0
Вирусоборец
10721 / 6100 / 1255
Регистрация: 06.09.2009
Сообщений: 23,621
04.01.2018, 06:46 11
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18665 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^
Java 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 ActiveX v.25.0.0.171 Внимание! Скачать обновления
Adobe Flash Player 25 NPAPI v.25.0.0.171 Внимание! Скачать обновления
Adobe Flash Player 25 PPAPI v.25.0.0.171 Внимание! Скачать обновления
Исправляйте указанное + Рекомендации после удаления вредоносного ПО
Перед установкой обновлений для системы на всякий случай создайте точку восстановления.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
04.01.2018, 06:46
Помогаю со студенческими работами здесь

Лечение drive.bat
Доброго дня. Подхватила где-то вирус drive.bat, который создает на флеш-носителях ярлыки...

Ярлыки браузеров ведут на bat-файлы - Лечение компьютерных вирусов
Ярлыки браузеров начали ссылаться на файлы с расширением .bat(C:\ProgramData\****\****.bat), при...

Ярлыки браузеров ссылаются на файлы с расширением .bat - Лечение компьютерных вирусов
Ярлыки браузеров начали ссылаться на файлы с расширением .bat(C:\ProgramData\XXXXX\XXXX.bat), при...

Лечение вируса на слабых ПК - New Folder (Вирус или Worm.Win32,AutoIt.aea или Virus.Win32.Sality.gen)
В школе в комп класе на компах появился вирус - New Folder (Вирус или Worm.Win32,AutoIt.aea или...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru