Вирус, который создает ярлык флешки на самой флешке - Удаление вирусов

@Serge30286 · Регистрация: 17.05.2014

Открываю флешки, но на них вместо файлов, ярлык самой флешки.

@thyrex · 30.04.2018, 18:51

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\appsource\data\taskhost.exe');
 TerminateProcessByName('c:\programdata\package\data\smss.exe');
 TerminateProcessByName('c:\programdata\driverupdater\data\nvcpl.exe');
 TerminateProcessByName('c:\programdata\driverupdater\data\dvu.exe');
 QuarantineFile('C:\Users\Sergey\AppData\Roaming\WindowsServices\helper.vbs','');
 QuarantineFile('c:\programdata\driverupdater\data\dvu.exe','');
 QuarantineFile('c:\programdata\driverupdater\data\nvcpl.exe','');
 QuarantineFile('c:\programdata\appsource\data\taskhost.exe','');
 QuarantineFile('c:\programdata\package\data\smss.exe','');
 DeleteFile('c:\programdata\package\data\smss.exe','32');
 DeleteFile('c:\programdata\appsource\data\taskhost.exe','32');
 DeleteFile('c:\programdata\driverupdater\data\nvcpl.exe','32');
 DeleteFile('c:\programdata\driverupdater\data\dvu.exe','32');
 DeleteFile('C:\Users\Sergey\AppData\Roaming\WindowsServices\helper.vbs','64');
 DeleteFile('C:\Windows\system32\Tasks\Driverupdater','x64');
 DeleteFile('C:\Windows\system32\Tasks\Windows Update','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

@Serge30286 · 02.05.2018, 00:13 **[ТС]**

Сделал все, как вы сказали

@thyrex · 03.05.2018, 23:23

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@Serge30286 · 05.05.2018, 19:06 **[ТС]**

Отправил

@thyrex · 07.05.2018, 20:14

Driver Booster 5 удалите через Установку программ.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files\inteldriverpack\intel.exe
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?win=98&clid=2071972","hxxp://www.yandex.ru/","hxxp://www.mystartsearch.com/?type=hppp&ts=1420709021&from=smt&uid=ST31000524AS_6VPFGZCBXXXX6VPFGZCB","hxxp://www.istartsurf.com/?type=hp&ts=1438723403&z=11b8051fe6a0a03a3bb4cc7g5z9c9bdmfo9cecbccb&from=cor&uid=ST31000524AS_6VPFGZCBXXXX6VPFGZCB","hxxp://ru.msn.com/?pc=UP21&ocid=UP21DHP&dt=040813"
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
2018-05-02 11:13 - 2018-05-05 14:04 - 000002448 _____ C:\Windows\System32\Tasks\Driverupdater
2018-05-02 11:13 - 2018-05-05 14:04 - 000002070 _____ C:\Windows\System32\Tasks\Windows Update
Task: {3070F8D5-634C-4CC2-901D-2061EB9C1803} - System32\Tasks\Driverupdater => C:\ProgramData\Driverupdater\data\dvu.exe
Task: {B31FF037-7C02-4986-B253-A5F87C920778} - System32\Tasks\Windows Update => C:\ProgramData\GroupPolicy\winup.exe
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [144]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@Serge30286 · 10.05.2018, 23:49 **[ТС]**

А что делать с зараженными флешками? Я тогда еще все файлы скинул и больше их не вставлял.

@thyrex · 11.05.2018, 17:34

Total Commander на компьютере есть? Если нет, скачайте и установите. Включите в ЕГО настройках показ скрытых и системных файлов. Отобразите содержимое флешки в одной из панелей, сделайте скриншот окна и прикрепите к сообщению

@Serge30286 · 11.05.2018, 22:38 **[ТС]**

Вот две зараженные флешки

@thyrex · 12.05.2018, 18:57

Ярлык удалите.

Вся пропавшая информация находится в самой первой скрытой папке с именем из пробелов.

Папку WindowsServices тоже можно удалить

@Serge30286 · 12.05.2018, 20:04 **[ТС]**

Все, теперь нормально открывается. Огромное вам спасибо за помощь!

@thyrex · 13.05.2018, 12:24

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

@Serge30286 · 13.05.2018, 14:02 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 13.05.2018 14:01:01
Path starting: C:\Users\Sergey\AppData\Local\Temp\SecurityCheck\SecurityChe ck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Sergey
VersionXML: 5.02is-12.05.2018
____________________________________________________________ _______________

Windows 10(6.3.16299) (x64) Professional Версия: 1709 Lang: Russian(0419)
Дата установки ОС: 01.03.2018 16:24:05
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 250765 мин.
Статус лицензии: Office 16, Office16ProjectProVL_KMS_Client edition Срок истечения многопользовательской активации: 157277 мин.
Статус лицензии: Office 16, Office16VisioProVL_KMS_Client edition Срок истечения многопользовательской активации: 157277 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 157277 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [97.7 Гб] Занято: [56.2 Гб] Свободно: [41.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.192.16299.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Avast Antivirus (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Avast Antivirus (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.18.3.2333
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 18.03 beta (x64) v.18.03 beta Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
VLC media player v.3.0.1 Внимание! Скачать обновления
Архиватор WinRAR
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44396 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
Java SE Development Kit 7 Update 76 v.1.7.0.760 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u172-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Служба Bonjour (Bonjour Service) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.29.0.0.112
Adobe Acrobat XI Pro v.11.0.12 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.170
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.66.0.3359.170
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.18.3.3860.0
aswbIDSAgent (aswbIDSAgent) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.3.3860.316
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.12.16299.15
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

@akok · 13.05.2018, 21:35

по возможности исправьте найденные проблемы
\

@Serge30286 · 14.05.2018, 22:33 **[ТС]**

На этом все?

@Sandor · 21.05.2018, 18:45

Да.
Рекомендации после удаления вредоносного ПО

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	03.05.2018, 23:23	4
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	11.05.2018, 17:34	8
	Total Commander на компьютере есть? Если нет, скачайте и установите. Включите в ЕГО настройках показ скрытых и системных файлов. Отобразите содержимое флешки в одной из панелей, сделайте скриншот окна и прикрепите к сообщению 0

@Serge30286 0 / 0 / 0 Регистрация: 17.05.2014 Сообщений: 21
	11.05.2018, 22:38 [ТС]	9
	Вот две зараженные флешки 0 Миниатюры

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	12.05.2018, 18:57	10
	Ярлык удалите. Вся пропавшая информация находится в самой первой скрытой папке с именем из пробелов. Папку WindowsServices тоже можно удалить 0

@Serge30286 0 / 0 / 0 Регистрация: 17.05.2014 Сообщений: 21
	12.05.2018, 20:04 [ТС]	11
	Все, теперь нормально открывается. Огромное вам спасибо за помощь! 0

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	13.05.2018, 12:24	12
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 0

@Serge30286 0 / 0 / 0 Регистрация: 17.05.2014 Сообщений: 21
	13.05.2018, 14:02 [ТС]	13
	SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 13.05.2018 14:01:01 Path starting: C:\Users\Sergey\AppData\Local\Temp\SecurityCheck\SecurityChe ck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Sergey VersionXML: 5.02is-12.05.2018 ____________________________________________________________ _______________ Windows 10(6.3.16299) (x64) Professional Версия: 1709 Lang: Russian(0419) Дата установки ОС: 01.03.2018 16:24:05 Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 250765 мин. Статус лицензии: Office 16, Office16ProjectProVL_KMS_Client edition Срок истечения многопользовательской активации: 157277 мин. Статус лицензии: Office 16, Office16VisioProVL_KMS_Client edition Срок истечения многопользовательской активации: 157277 мин. Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 157277 мин. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [97.7 Гб] Занято: [56.2 Гб] Свободно: [41.5 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.192.16299.0 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ---------------------------- [ Antivirus_WMI ] ---------------------------- Avast Antivirus (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Avast Antivirus (включен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Free Antivirus v.18.3.2333 --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 18.03 beta (x64) v.18.03 beta Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ VLC media player v.3.0.1 Внимание! Скачать обновления Архиватор WinRAR --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.3.44396 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^ Java SE Development Kit 7 Update 76 v.1.7.0.760 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u172-windows-i586.exe). --------------------------- [ AppleProduction ] --------------------------- Bonjour v.3.0.0.10 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ Служба Bonjour (Bonjour Service) - Служба работает --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.29.0.0.112 Adobe Acrobat XI Pro v.11.0.12 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Google Chrome v.66.0.3359.170 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.66.0.3359.170 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Avast Antivirus (avast! Antivirus) - Служба работает C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.18.3.3860.0 aswbIDSAgent (aswbIDSAgent) - Служба работает C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.3.3860.316 C:\Program Files\Windows Defender\MSASCuiL.exe v.4.12.16299.15 Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена ----------------------------- [ End of Log ] ------------------------------ 0

@akok 2754 / 778 / 22 Регистрация: 01.09.2009 Сообщений: 961
	13.05.2018, 21:35	14
	по возможности исправьте найденные проблемы \ 0

@Serge30286 0 / 0 / 0 Регистрация: 17.05.2014 Сообщений: 21
	14.05.2018, 22:33 [ТС]	15
	На этом все? 0

@Sandor 16230 / 13292 / 2352 Регистрация: 08.10.2012 Сообщений: 53,977
	21.05.2018, 18:45	16
	Да. Рекомендации после удаления вредоносного ПО 0

Опции темы