0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
1 | |
Ярлык на флэшке15.03.2019, 13:05. Показов 1188. Ответов 16
Метки нет (Все метки)
Добрый день, или вечер. На флэшке появился ярлык на эту саму флэшку. Если ярлык открыть, то открывается путь диск://_ и там файлы, которые были на флэшке. Наверное зря открыл этот ярлык, но тогда не знал, что это может быть такое. Один раз при открытии жесткого диска, решили открыться все съемные диски, которых и нет в данный момент. Логи автологера прикрепил.
0
|
15.03.2019, 13:05 | |
Ответы с готовыми решениями:
16
На каждой флэшке создаётся ярлык (вирус). Файлы на флэшке переместились в папку "_". Появилась папка WindowsServices Ярлык на флэшке ярлык в флэшке Ярлык флэшки на флэшке |
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 13:24 | 2 |
Выполните скрипт в AVZ (C:\Users\Vsevolod\Desktop\autologger\AutoLogger\AVZ\avz.exe):
Код
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\System32\wscript.exe'); QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol',''); QuarantineFile('C:\Users\Vsevolod\AppData\Roaming\WindowsServices\helper.vbs',''); QuarantineFile('C:\Users\Vsevolod\AppData\Local\Temp\39FE319A-51C3-4F6B-A0DC-60EA88A790A6\newtab.exe',''); QuarantineFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe',''); QuarantineFile('C:\Program Files (x86)\HPDef\HomePageDefSrv.exe',''); QuarantineFile('C:\Users\Vsevolod\AppData\Local\Hostinstaller\1376727074_monster.exe',''); QuarantineFile('C:\ProgramData\Torrent_Search_PED\rundll32.exe',''); QuarantineFile('C:\Users\Vsevolod\AppData\Roaming\Microsoft\Video\rizotto.exe',''); QuarantineFile('C:\Program Files (x86)\Torrent Search\tJcVLqS.exe',''); DeleteFile('C:\Program Files (x86)\Torrent Search\tJcVLqS.exe','64'); DeleteFile('C:\Users\Vsevolod\AppData\Roaming\Microsoft\Video\rizotto.exe','64'); DeleteFile('C:\ProgramData\Torrent_Search_PED\rundll32.exe','64'); DeleteFile('C:\Users\Vsevolod\AppData\Local\Hostinstaller\1376727074_monster.exe','64'); DeleteFile('C:\Program Files (x86)\HPDef\HomePageDefSrv.exe','64'); DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','64'); DeleteFile('C:\Users\Vsevolod\AppData\Local\Temp\39FE319A-51C3-4F6B-A0DC-60EA88A790A6\newtab.exe','64'); DeleteFile('C:\Users\Vsevolod\AppData\Roaming\WindowsServices\helper.vbs','64'); DeleteFile('C:\Program Files (x86)\IObit\IObit','64'); DeleteService('NewTabService'); DeleteService('LiveUpdateSvc'); DeleteService('HPDef Service'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{B19ED566-D419-470b-B111-3C89040BC027}','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C','x64'); DelCLSID('{B19ED566-D419-470b-B111-3C89040BC027}'); DelBHO('{10921475-03CE-4E04-90CE-E2E7EF20C814}'); DeleteSchedulerTask('PED_Torrent_Search'); DeleteSchedulerTask('Soft installer'); DeleteSchedulerTask('Update Service for Torrent Search'); DeleteSchedulerTask('Update Service for Torrent Search2'); DeleteSchedulerTask('Microsoft\Windows\Google\GoogleUpdateTaskMachine'); DeleteSchedulerTask('ASC8_PerformanceMonitor'); DeleteSchedulerTask('ASC8_SkipUac_Vsevolod'); ExecuteSysClean; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. После перезагрузки, выполните такой скрипт: Код
begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. К сообщению прикреплять файл quarantine.7z не нужно! Установите антивирус, можно бесплатный Соберите новые логи Autologger
0
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 13:50 [ТС] | 3 |
Файлы карантина отправил через форму отправки. Новые логи прикрепил.
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 14:03 | 4 |
Что-то ничего не изменилось, повторите выполнение скрипта из сообщения 2, запускайте АВЗ от имени администратора
0
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 14:25 [ТС] | 5 |
Повторил все действия из второго сообщения. Всё запускал от имени администратора. Автологер запускал так же от имени администратора autologger-test.exe.
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 14:38 | 6 |
Ок, значит опять что-то поломалось. Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html
0
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 14:46 [ТС] | 7 |
Собрал логи.
0
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 14:50 [ТС] | 8 |
Собрал логи
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 15:01 | 9 |
Отключите до перезагрузки антивирус.
Выделите следующий код: Код
Start:: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 HKU\S-1-5-21-3558938744-932686463-125777312-1000\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-3558938744-932686463-125777312-1000\...\Policies\Explorer: [] HKU\S-1-5-21-3558938744-932686463-125777312-1000\...\MountPoints2: {1f6cbd32-dea8-11e5-87af-bc5ff41ea35a} - E:\Autoplay.exe -auto Startup: C:\Users\Vsevolod\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-15] ShortcutTarget: helper.lnk -> C:\Users\Vsevolod\AppData\Roaming\WindowsServices\helper.vbs (No File) GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy-x32: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKU\S-1-5-21-3558938744-932686463-125777312-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION HKU\S-1-5-21-3558938744-932686463-125777312-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://slightsearch.ru/?ri=1&uid=4d29e2468293fcdf887a08ade9e339b3&q={searchTerms} HKU\S-1-5-21-3558938744-932686463-125777312-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://slightsearch.ru/?ri=1&uid=4d29e2468293fcdf887a08ade9e339b3&q={searchTerms} URLSearchHook: HKU\S-1-5-21-3558938744-932686463-125777312-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File C:\Program Files (x86)\IObit\ CHR HKU\S-1-5-21-3558938744-932686463-125777312-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File Task: {EB4F706D-A05B-40BA-92D5-BC2B880EA443} - System32\Tasks\Uninstaller_SkipUac_Vsevolod => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\Windows\Tasks\PED_Torrent_Search.job => <==== ATTENTION Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\tJcVLqS.exe <==== ATTENTION Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\ CMD: sc config mpssvc start= Auto CMD: net start MpsSvc CMD: netsh advfirewall set allprofiles state ON EmptyTemp: Reboot: End:: Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.
0
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 15:30 [ТС] | 10 |
Как-то так.
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 15:34 | 11 |
Что с проблемой?
0
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 15:42 [ТС] | 12 |
Пока странностей в работе ПК не видел. А вот что делать с флэшкой? Данные там не особо важные, если я отформатирую её, то вот этот ярлык больше не появится, если проблема решилась на ПК?
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 15:54 | 13 |
Отформатируйте и проверьте)
Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download
0
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 16:30 [ТС] | 14 |
Еще до обращения за помощью, я форматировал флэшку, но после переподключения в ПК - ярлык появился снова. Больше не появляется.
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 16:33 | 15 |
Исправляйте, обновляйте:
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4489878 Внимание! Скачать обновления Git version 2.10.2 v.2.10.2 Внимание! Скачать обновления K-Lite Codec Pack 9.1.0 (64-bit) v.9.1.0 Внимание! Скачать обновления WinRAR 4.20 (64-bit) v.4.20.0 Внимание! Скачать обновления Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления Oracle VM VirtualBox 5.2.8 v.5.2.8 Внимание! Скачать обновления Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления Java(TM) 7 Update 5 (64-bit) v.7.0.50 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u201-windows-x64.exe). Adobe Shockwave Player 11.6 (64-bit) v.11.6.5.635 Внимание! Скачать обновления puush v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! И читайте: Рекомендации после удаления вредоносного ПО
1
|
0 / 0 / 0
Регистрация: 15.03.2019
Сообщений: 9
|
|
15.03.2019, 16:43 [ТС] | 16 |
Спасибо за помощь и за время уделённое моей проблеме.
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
15.03.2019, 16:53 | 17 |
Удачи
0
|
15.03.2019, 16:53 | |
15.03.2019, 16:53 | |
Помогаю со студенческими работами здесь
17
На флэшке ярлык на саму флэшку Вирус, создающий ярлык на флэшке Ярлык флэшки на самой флэшке, не открывается! Создает ярлык на флэшке на саму флэшку Вирус создает в каждой папке ярлык MyMusic и ярлык папки в которой находиться Neccatkapv на флэшке Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |