Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/12: Рейтинг темы: голосов - 12, средняя оценка - 4.83
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
1

На каждой флэшке создаётся ярлык (вирус). Файлы на флэшке переместились в папку "_". Появилась папка WindowsServices

13.02.2020, 19:02. Просмотров 2290. Ответов 15
Метки нет (Все метки)

Добрый день, уважаемые программисты и сисадмины.
Вот уже более года мучаюсь от коварного вируса(ов). Дело в том, что после очередного скачивания материалов у друга, посредством внешнего жёсткого диска, занёс вирус на свой компьютер.
У меня ноутбук ASUS K50IN. ОС Windows 7.
С тех пор, при каждом втыкании любой флэшки - она не открывается сразу, а только при клике на её ярлык, который почему то появляется всегда. Также создаётся сама собой папка WindowsServices. А файлы с флэшке переместились в папку "_".
Чем только не чистил компьютер - бесполезно.
Также компьютер всё более виснет, тормозит, даже, порой до нескольких минут.
Помогите пожалуйста.
Спасибо.
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
13.02.2020, 19:02
Ответы с готовыми решениями:

Файлы на флешке переместились в папку "_" + повилась папка WindowsServices
Здравствуйте. Поймал вирус. Вставил флешку (видимо, зараженную), Симантек стал ругаться на файлы...

Файлы на флешке переместились в папку "_" + повилась папка WindowsServices и System Volume
Файлы на флешке переместились в папку "_" + повилась папка WindowsServices и System Volume Как...

Вирус, создающий ярлык на флэшке
Здравствуйте! Всякими Cureit и альтернативой касперского победить не удалось. Помогите пожалуйста :)

вирус скрывает файлы на флэшке
День добрый. Вирус создает на флэшке каталог <..>. Копирует туда все данные. Скрывает саму папку и...

ярлык в флэшке
помогите снова на др компьютере и др флэшке

15
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
14.02.2020, 07:49  [ТС] 2
Прикрепляю CollectionLog-2020.02.14-07.28.zip к своему сообщению.
0
Вложения
Тип файла: zip CollectionLog-2020.02.14-07.28.zip (68.5 Кб, 1 просмотров)
Sandor
Вирусоборец
14581 / 12219 / 2024
Регистрация: 08.10.2012
Сообщений: 49,660
14.02.2020, 10:26 3
Лучший ответ Сообщение было отмечено alexandre1970 как решение

Решение

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя alexandre1970. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantineEx(true);
     QuarantineFile('C:\Users\Домашний\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk', '');
     QuarantineFile('C:\Users\Домашний\AppData\Roaming\WindowsServices\helper.vbs', '');
     DeleteFile('C:\Users\Домашний\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk');
     DeleteFile('C:\Users\Домашний\AppData\Roaming\WindowsServices\helper.vbs', '32');
     RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Домашний^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^helper.lnk', 'x32');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
     DeleteFile(GetAVZDirectory+'quarantine.7z');
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
    end.
  2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
    К сообщению прикреплять файл quarantine.7z не нужно!


  3. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
0
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
14.02.2020, 11:58  [ТС] 4
Спасибо Вам.
Всё сделал. После выполнения 1-го скрипта - компьютер не перезагрузился. Отказался перезагружаться и выключаться в принципе. Пришлось выключить насильно и включить.
0
Вложения
Тип файла: zip CollectionLog-2020.02.14-11.52.zip (67.4 Кб, 1 просмотров)
14.02.2020, 11:58
Sandor
Вирусоборец
14581 / 12219 / 2024
Регистрация: 08.10.2012
Сообщений: 49,660
14.02.2020, 13:15 5
Лучший ответ Сообщение было отмечено alexandre1970 как решение

Решение

Флешки теперь должны работать нормально. Видны следы адвари, почистим:
Подготовьте и прикрепите лог сканирования AdwCleaner.
0
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
14.02.2020, 14:13  [ТС] 6
Благодарю за действенную помощь. Действительно, помогли. Хотя ярлык с флэшки не удалился, при удалении ярлыка вручную, а также новых папок, созданных вирусом - при повторном втыкании флэшки всё показывает как раньше, правильно, как и должно быть. Эта флэшка была подключённой во время совершения мной всех операций по Вашим указаниям.
Только при подключении других флэшек - остаётся папка (тайная) "System Volume Information". Удалить её не получается.
Внутри папки файл "IndexerVolumeGuid". Файл странный. При попытки удалить - не удаляется. При попытке изменить расширение его - тут же исчезает. При повторном открытии папки - он снова на месте.
0
Вложения
Тип файла: txt AdwCleaner[S00].txt (4.2 Кб, 1 просмотров)
Sandor
Вирусоборец
14581 / 12219 / 2024
Регистрация: 08.10.2012
Сообщений: 49,660
14.02.2020, 14:33 7
Лучший ответ Сообщение было отмечено alexandre1970 как решение

Решение

Цитата Сообщение от alexandre1970 Посмотреть сообщение
остаётся папка (тайная) "System Volume Information"
Только не тайная, а скрытая
Это нормальное поведение, удалять не нужно.

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
1
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
14.02.2020, 14:56  [ТС] 8
Благодарю Вас.
Всё сделал.
0
Вложения
Тип файла: txt AdwCleaner[C01].txt (1.7 Кб, 0 просмотров)
Тип файла: txt AdwCleaner[C00].txt (3.8 Кб, 1 просмотров)
Тип файла: rar Logs.rar (2.1 Кб, 1 просмотров)
Sandor
Вирусоборец
14581 / 12219 / 2024
Регистрация: 08.10.2012
Сообщений: 49,660
14.02.2020, 15:04 9
Цитата Сообщение от Sandor Посмотреть сообщение
будут созданы отчеты FRST.txt и Addition.txt
Этих пока нет.
1
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
14.02.2020, 15:09  [ТС] 10
ПОнял, извините, ошибся.
0
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
14.02.2020, 15:12  [ТС] 11
Понял Вас.
0
Вложения
Тип файла: rar Addition и FRST.rar (22.7 Кб, 3 просмотров)
Sandor
Вирусоборец
14581 / 12219 / 2024
Регистрация: 08.10.2012
Сообщений: 49,660
14.02.2020, 15:31 12
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    Toolbar: HKU\S-1-5-21-715022274-1484850467-3942142927-1000 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
    C:\Users\Домашний\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne
    C:\Users\Домашний\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gehngeifmelphpllncobkmimphfkckne
    2017-12-26 14:21 - 2017-12-26 14:21 - 000000764 _____ () C:\Users\Домашний\AppData\Local\uBar.lnk
    FirewallRules: [TCP Query User{58675617-3BDE-4182-A927-5467FE63CDF0}C:\users\домашний\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\домашний\appdata\local\mediaget2\mediaget.exe No File
    FirewallRules: [UDP Query User{931349F7-582F-4EB7-9C9E-5C2889624433}C:\users\домашний\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\домашний\appdata\local\mediaget2\mediaget.exe No File
    FirewallRules: [{919700C6-365B-4563-BDAB-4E0033799131}] => (Allow) C:\Users\Домашний\AppData\Local\Temp\Torrent2Exe\T2E.exe No File
    FirewallRules: [{D0210616-671C-4680-BEBB-3A734BBEADEC}] => (Allow) C:\Users\Домашний\AppData\Local\Temp\Torrent2Exe\T2E.exe No File
    FirewallRules: [{31DB5CE6-3512-4606-B5D3-E501F9FF3686}] => (Allow) C:\Users\Домашний\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{B562273A-FF61-47EC-86BC-530D92580539}] => (Allow) C:\Users\Домашний\AppData\Local\MediaGet2\mediaget.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
14.02.2020, 17:02  [ТС] 13
Да, хорошо, всё сделал.
Компьютер перезагрузился.
Браузер гуглхром закрыл все вкладки. Но это ничего. Вкладки заново восстановлю, пароли к страницам тоже.
0
Вложения
Тип файла: txt Fixlog.txt (4.4 Кб, 1 просмотров)
Sandor
Вирусоборец
14581 / 12219 / 2024
Регистрация: 08.10.2012
Сообщений: 49,660
14.02.2020, 22:30 14
Цитата Сообщение от alexandre1970 Посмотреть сообщение
Браузер гуглхром закрыл все вкладки
Была глубокая очистка временных файлов:
EmptyTemp: => 4.5 GB temporary data Removed.
Завершаем:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
1
alexandre1970
0 / 0 / 0
Регистрация: 13.02.2020
Сообщений: 9
16.02.2020, 09:10  [ТС] 15
Благодарю Вас. Всё сделал.
0
Вложения
Тип файла: txt SecurityCheck.txt (11.7 Кб, 2 просмотров)
Sandor
Вирусоборец
14581 / 12219 / 2024
Регистрация: 08.10.2012
Сообщений: 49,660
16.02.2020, 19:11 16
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Visio Профессиональный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Visio Professional 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Word Viewer 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45231 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^
Java(TM) 6 Update 32 v.6.0.320 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u241-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.9.3.3 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 Plugin v.10.0.22.87 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
UmmyVideoDownloader v.1.8.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Читайте http://www.cyberforum.ru/viruses-faq/thread430326.html
0
16.02.2020, 19:11
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.02.2020, 19:11

Ярлык на флэшке
Добрый день, или вечер. На флэшке появился ярлык на эту саму флэшку. Если ярлык открыть, то...

Ярлык на флэшке
На флэшке появился ярлык который всасывает в себя все фалы на ней. И еще, у меня нод антивирус не...

Ярлык флэшки на флэшке
Доброго времени суток. Помогите пожалуйста. При подключении флэшки на ней появился ярлык этой же...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.