Флешка внутри ярлык флешка

12.06.2013, 08:24. **Просмотров** 1659. **Ответов** 1

У меня такая проблема: когда открываем флешка внутри тоже ярлык флешка

@Sandor · 12.06.2013, 10:19

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________
1.
Пофиксите в HijackThis следующие строчки:

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [17776] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cceuimez.com
O20 - AppInit_DLLs:   C:\PROGRA~1\SEARCH~1\Datamngr\mgrldr.dll c:\progra~1\browse~1\sprote~1.dll

2.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cceuimez.com','');
 QuarantineFile('C:\WINDOWS\regsvr.exe','');
 QuarantineFile('c:\progra~1\browse~1\sprote~1.dll','');
 QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\mgrldr.dll','');
 DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\mgrldr.dll');
 DeleteFile('c:\progra~1\browse~1\sprote~1.dll');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cceuimez.com');
 DeleteFile('C:\WINDOWS\regsvr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','17776');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3.
Покажите лог сканирования Malwarebytes' Anti-Malware

4.

Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Временно отключите драйверы эмуляторов дисков.
Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Sections
- IAT/EAT
- Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробную инструкцию читайте в руководстве

5.
Чтобы полностью избавиться от вебальты:
В меню AVZ - Сервис - Поиск данных в реестре.
В поле 'Образец' впишите webalta, нажмите 'Пуск'.
После окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.

@Sandor 15857 / 13202 / 2333 Регистрация: 08.10.2012 Сообщений: 53,614
	12.06.2013, 10:19	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Пофиксите в HijackThis следующие строчки: Код R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O4 - HKLM\..\Policies\Explorer\Run: [17776] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cceuimez.com O20 - AppInit_DLLs: C:\PROGRA~1\SEARCH~1\Datamngr\mgrldr.dll c:\progra~1\browse~1\sprote~1.dll 2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cceuimez.com',''); QuarantineFile('C:\WINDOWS\regsvr.exe',''); QuarantineFile('c:\progra~1\browse~1\sprote~1.dll',''); QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\mgrldr.dll',''); DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\mgrldr.dll'); DeleteFile('c:\progra~1\browse~1\sprote~1.dll'); DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cceuimez.com'); DeleteFile('C:\WINDOWS\regsvr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','17776'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Покажите лог сканирования Malwarebytes' Anti-Malware 4. Загрузите GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробную инструкцию читайте в руководстве 5. Чтобы полностью избавиться от вебальты: В меню AVZ - Сервис - Поиск данных в реестре. В поле 'Образец' впишите webalta, нажмите 'Пуск'. После окончания сохраните протокол и выложите сюда. Поиск не закрывайте. 0

Опции темы