Как удалить вирус File или Drive. bat создающий ярлыки

@AlexUralsk · Регистрация: 18.02.2018

Author24 — интернет-сервис помощи студентам

Здравствуйте! Помогите пожалуйста. Словил на флешку этот File (Driver.bat), который создает ярлыки. Еще и перекинул все на комп. Вставил новую флешку и тоже ее заразил. Перестали открываться реестр и автозапуск. Вернее реестр открывается и сразу закрывается. Автозапуск вообще не открывается. Заранее спасибо.

@Sandor · 19.02.2018, 10:43

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя AlexUralsk. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Host App Service
MediaGet
Unity Web Player
Амиго
Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.js', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\toumap\shgnvnofl.js','');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\toumap\shgnvnofl.js','32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.js', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@AlexUralsk · 19.02.2018, 11:27 **[ТС]**

Файл quarantine.zip отправил с помощью формы вверху этой темы.
Подготовил и прилагаю новый CollectionLog.

@Sandor · 19.02.2018, 11:45

Подготовьте и прикрепите лог сканирования AdwCleaner.

@AlexUralsk · 19.02.2018, 15:53 **[ТС]**

Спасибо Вам большое!
Кажется вируса больше нет.
Прилагаю лог сканирования AdwCleaner.

@AlexUralsk · 19.02.2018, 15:57 **[ТС]**

Извините, могу ли вставить первую зараженную флэшку?
И не произойдет ли заражение повторно. На ней очень важные для меня файлы.
И что мне в этом случае делать?
Вторую я просто отформатировал для гарантии.
С уважением,
Алексей

@Sandor · 19.02.2018, 16:05

Не спешите.

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@AlexUralsk · 19.02.2018, 19:16 **[ТС]**

Извините за задержку.

Прилагаю запрашиваемые отчеты

@AlexUralsk · 19.02.2018, 19:22 **[ТС]**

Отчеты Farbar Recovery Scan Tool

@Sandor · 20.02.2018, 09:59

Сообщение от AlexUralsk

Прилагаю запрашиваемые отчеты
Вложения
AdwCleaner[S3].txt

В имени отчета об очистке должен быть символ [Cx], а не [Sx].

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => No File
AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => No File
FirewallRules: [{2561CCC2-B268-4521-A7C8-48C9C2697FAC}] => (Allow) C:\Users\Алексей\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{EA194AEE-51DF-4D3C-881E-78BEB35801C6}] => (Allow) C:\Users\Алексей\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@AlexUralsk · 20.02.2018, 11:02 **[ТС]**

Прошу прощения не заметил.
Вот

@Sandor · 20.02.2018, 11:50

Панель управления\Оборудование и звук\Автозапуск

Отключите "Использовать автозапуск для всех носителей и устройств".

Сообщение от AlexUralsk

могу ли вставить первую зараженную флэшку?

Вставьте и с подключенной флэшкой сделайте такую проверку:

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

@AlexUralsk · 27.02.2018, 08:56 **[ТС]**

Спасибо!
Извините за долгую задержку с ответом.
Был в командировке.
Отчет прикрепляю

@Sandor · 27.02.2018, 10:29

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все, кроме указанных ниже (!) - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Код

Процесс: 2
PUP.Optional.MailRu, C:\USERS\Алексей\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE, Проигнорировано пользователем, [631], [387351],1.0.4118
PUP.Optional.MailRu, C:\USERS\Алексей\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE, Проигнорировано пользователем, [631], [387351],1.0.4118

Модуль: 2
PUP.Optional.MailRu, C:\USERS\Алексей\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE, Проигнорировано пользователем, [631], [387351],1.0.4118
PUP.Optional.MailRu, C:\USERS\Алексей\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE, Проигнорировано пользователем, [631], [387351],1.0.4118

Раздел реестра:
PUP.Optional.MailRu, HKU\S-1-5-21-2238112635-4221022588-2270681357-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\GameCenterMailRu, Проигнорировано пользователем, [631], [387351],1.0.4118
PUP.Optional.MailRu, HKU\S-1-5-21-2238112635-4221022588-2270681357-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Ground War Tanks, Проигнорировано пользователем, [631], [387351],1.0.4118
PUP.Optional.MailRu, HKU\S-1-5-21-2238112635-4221022588-2270681357-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Heroes & Generals GC, Проигнорировано пользователем, [631], [387351],1.0.4118

Значение реестра: 1
PUP.Optional.MailRu, HKU\S-1-5-21-2238112635-4221022588-2270681357-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|GAMECENTERMAILRU, Проигнорировано пользователем, [631], [387351],1.0.4118

Файл:
PUP.Optional.MailRu, C:\USERS\Алексей\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE, Проигнорировано пользователем, [631], [387351],1.0.4118

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Dragokas · 27.02.2018, 12:02

++ а также подготовьте отчёт HiJackThis.

@AlexUralsk · 28.02.2018, 11:59 **[ТС]**

Прикрепляю новый лог и отчет HiJackThis

@AlexUralsk · 28.02.2018, 12:07 **[ТС]**

Прикрепляю лог и отчет HiJackThis

@AlexUralsk · 28.02.2018, 12:13 **[ТС]**

Вирус с флешки пока не удалился

@Sandor · 28.02.2018, 12:22

Скопируйте нужные данные с флэшки и отформатируйте ее.

На вновь вставленную чистую флэшку ничего не пишется?

@AlexUralsk · 28.02.2018, 16:14 **[ТС]**

Все файлы на флешке в виде ярлыков по 1 КБ
кроме этого присутствует пакетный файл Drive
При копировании этих ярлыков не произойдет ли повторного заражения?

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	19.02.2018, 10:43	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя AlexUralsk. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Host App Service MediaGet Unity Web Player Амиго Менеджер браузеров Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.js', ''); QuarantineFile('C:\Users\Алексей\AppData\Roaming\toumap\shgnvnofl.js',''); DeleteFile('C:\Users\Алексей\AppData\Roaming\toumap\shgnvnofl.js','32'); DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.js', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	19.02.2018, 11:45	4
	Подготовьте и прикрепите лог сканирования AdwCleaner. 1

@AlexUralsk 0 / 0 / 0 Регистрация: 18.02.2018 Сообщений: 12
	19.02.2018, 15:57 [ТС]	6
	Извините, могу ли вставить первую зараженную флэшку? И не произойдет ли заражение повторно. На ней очень важные для меня файлы. И что мне в этом случае делать? Вторую я просто отформатировал для гарантии. С уважением, Алексей 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	19.02.2018, 16:05	7
	Не спешите. 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	20.02.2018, 09:59	10
	Сообщение от AlexUralsk Прилагаю запрашиваемые отчеты Вложения AdwCleaner[S3].txt В имени отчета об очистке должен быть символ [Cx], а не [Sx]. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CreateRestorePoint: AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => No File AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => No File FirewallRules: [{2561CCC2-B268-4521-A7C8-48C9C2697FAC}] => (Allow) C:\Users\Алексей\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{EA194AEE-51DF-4D3C-881E-78BEB35801C6}] => (Allow) C:\Users\Алексей\AppData\Local\MediaGet2\mediaget.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	20.02.2018, 11:50	12
	Панель управления\Оборудование и звук\Автозапуск Отключите "Использовать автозапуск для всех носителей и устройств". Сообщение от AlexUralsk могу ли вставить первую зараженную флэшку? Вставьте и с подключенной флэшкой сделайте такую проверку: Скачайте Malwarebytes' Anti-Malware. Установите. На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию". На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	27.02.2018, 12:02	15
	++ а также подготовьте отчёт HiJackThis. 0

@AlexUralsk 0 / 0 / 0 Регистрация: 18.02.2018 Сообщений: 12
	28.02.2018, 12:13 [ТС]	18
	Вирус с флешки пока не удалился 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.02.2018, 12:22	19
	Скопируйте нужные данные с флэшки и отформатируйте ее. На вновь вставленную чистую флэшку ничего не пишется? 0

@AlexUralsk 0 / 0 / 0 Регистрация: 18.02.2018 Сообщений: 12
	28.02.2018, 16:14 [ТС]	20
	Все файлы на флешке в виде ярлыков по 1 КБ кроме этого присутствует пакетный файл Drive При копировании этих ярлыков не произойдет ли повторного заражения? 0