Папки на флешке стали ярлыками

@anislaydis · Регистрация: 05.07.2011

Студворк — интернет-сервис помощи студентам

Помогите, пожалуйста, разобраться с проблемой! заранее спасибо

@Sfera · 05.07.2011, 15:01

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ника\ewh.exe','');
QuarantineFile('C:\Documents and Settings\Ника\Application Data\Whomoi.exe','');
DeleteFile('C:\Documents and Settings\Ника\Application Data\Whomoi.exe');
DeleteFile('C:\Documents and Settings\Ника\ewh.exe');
 QuarantineFile('C:\Documents and Settings\Ника\Application Data\6.exe','');
 QuarantineFile('C:\Documents and Settings\Ника\Application Data\5.tmp','');
 QuarantineFile('C:\Documents and Settings\Ника\Application Data\18.exe','');
 QuarantineFile('C:\Documents and Settings\Ника\Application Data\F.exe','');
 QuarantineFile('C:\Documents and Settings\Ника\Application Data\10.exe','');
 DeleteFile('C:\Documents and Settings\Ника\Application Data\10.exe');
 DeleteFile('C:\Documents and Settings\Ника\Application Data\F.exe');
 DeleteFile('C:\Documents and Settings\Ника\Application Data\18.exe');
 DeleteFile('C:\Documents and Settings\Ника\Application Data\5.tmp');
 DeleteFile('C:\Documents and Settings\Ника\Application Data\6.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);  
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Whomoi');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFileMask('C:\WINDOWS\Help\tcpmon.hlp:AFf0vijY','*.*', true);
DeleteFileMask('AFf0vijY','*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT +HijackThis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

на флешке

1)Удаляем левые ярлыки вместо папок.
2)Далее, создаем текстовый файл в блокноте, обзываем как угодно, расширение ставим bat. Содержимое файла:

Code
1
attrib -S -H /D /S

Сохраняем файл на флешку в корень.
Данная команда сбросит все атрибуты папок.
Запускаем на исполнение. Ждем закрытия окна. После окончания работы файла все ваши папки станут видимыми.
Содержимое папок сохраняем на жд.
Проверяем флешку Anti-autorun.

@anislaydis · 05.07.2011, 18:13 **[ТС]**

вот новые логи

@Sfera · 05.07.2011, 19:38

Удалите в МВАМ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.
 
Заражённые папки:
c:\documents and settings\all users\application data\srtserv (Worm.AutoRun) -> No action taken.
 
Заражённые файлы:
c:\documents and settings\Ника\doctorweb\quarantine\whomoi.exe (Backdoor.IRCBot.Gen) -> No action taken.
c:\documents and settings\all users\application data\srtserv\task.dat (Worm.AutoRun) -> No action taken.
c:\documents and settings\all users\application data\srtserv\set.dat (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
c:\documents and settings\Ника\secupdat.dat (Worm.Autorun) -> No action taken.

Запустите HiJackThis и проведите процедуру сканирования заново, после чего установите галочки на тех строках, которые Вам будут предложены, проверьте, не пропустили ли вы строки. И нажмите кнопку Fix checked

Code
1
2
R3 - URLSearchHook: (no name) - - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

что с проблемой?

@anislaydis · 05.07.2011, 20:18 **[ТС]**

без изменений, причем иногда ярлыки появляются сразу после работы Anti-autorunа,а иногда при повторном подключении флешки. а папку RECYCLER нужно удалять?

@Katharsis · 05.07.2011, 20:28

Подключите съемные диски, где у вас находятся потерянные файлы. Если вместо документов вы видите только ярлыки по 2kb, а обьём занятого места не изменился, значит ваши документы перенесены на скрытые области дисков. Включите в свойствах папки "показвать скрытые файлы и папки", возможно вы увидите свои файлы. Если нет - просмотрите их через файловый менеджер, например Total Commander с включенной функцией показа скрытых файлов. После того как всё найдёте, перенесите на компьютер, а флешки отформатируйте.

@anislaydis · 05.07.2011, 20:45 **[ТС]**

форматирование не помогает. При последующих подключениях флешки к компьютеру опять появляется папка RECYCLER и текстовый autorun

@Katharsis · 05.07.2011, 20:55

вы файлы свои вытащили? Если да, значит всё в порядке. RECYCLER создается системой, а autorun программами защиты типа Anti-autorun

Вопросы комплексной защиты от Autorun-вирусов на флешках

@anislaydis · 05.07.2011, 21:05 **[ТС]**

файлы вытащила, но если новые записываю они опять становятся ярлыками! А еще не могу зайти на сайт касперского

@Katharsis · 05.07.2011, 21:12

Сообщение от anislaydis

файлы вытащила, но если новые записываю они опять становятся ярлыками! А еще не могу зайти на сайт касперского

не дочистились значит.

лог Malwarebytes повторите.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@anislaydis 0 / 0 / 0 Регистрация: 05.07.2011 Сообщений: 8
	05.07.2011, 20:18 [ТС]
	без изменений, причем иногда ярлыки появляются сразу после работы Anti-autorunа,а иногда при повторном подключении флешки. а папку RECYCLER нужно удалять? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	05.07.2011, 20:28
	Подключите съемные диски, где у вас находятся потерянные файлы. Если вместо документов вы видите только ярлыки по 2kb, а обьём занятого места не изменился, значит ваши документы перенесены на скрытые области дисков. Включите в свойствах папки "показвать скрытые файлы и папки", возможно вы увидите свои файлы. Если нет - просмотрите их через файловый менеджер, например Total Commander с включенной функцией показа скрытых файлов. После того как всё найдёте, перенесите на компьютер, а флешки отформатируйте. 0

@anislaydis 0 / 0 / 0 Регистрация: 05.07.2011 Сообщений: 8
	05.07.2011, 20:45 [ТС]
	форматирование не помогает. При последующих подключениях флешки к компьютеру опять появляется папка RECYCLER и текстовый autorun 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	05.07.2011, 20:55
	вы файлы свои вытащили? Если да, значит всё в порядке. RECYCLER создается системой, а autorun программами защиты типа Anti-autorun Вопросы комплексной защиты от Autorun-вирусов на флешках 0

@anislaydis 0 / 0 / 0 Регистрация: 05.07.2011 Сообщений: 8
	05.07.2011, 21:05 [ТС]
	файлы вытащила, но если новые записываю они опять становятся ярлыками! А еще не могу зайти на сайт касперского 0