Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/16: Рейтинг темы: голосов - 16, средняя оценка - 5.00
0 / 0 / 0
Регистрация: 19.07.2013
Сообщений: 7
1

Вирус создаёт ярлык флешки на флешке

19.07.2013, 10:04. Показов 3330. Ответов 13
Метки нет (Все метки)

Здравствуйте, на компьютере завёлся вирус, который создаёт ярлык флешки на флешке. Помогите, пожалуйста, его прибить.
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (12.7 Кб, 19 просмотров)
Тип файла: zip virusinfo_syscure.zip (13.3 Кб, 9 просмотров)
Тип файла: zip info.zip (5.8 Кб, 6 просмотров)
Тип файла: zip log.zip (8.0 Кб, 7 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
19.07.2013, 10:04
Ответы с готовыми решениями:

Вирус создаёт ярлык флешки на флешке
Здравствуйте, на компьютере завёлся вирус, который создаёт ярлык флешки на флешке. Помогите,...

Вирус, который создает ярлык флешки на самой флешке
Принесли флешку, там эта вирусня, я попытался удалить его сам но все тщетно, после этого вставил...

Вирус, который создает ярлык флешки на самой флешке
Здравствуйте! Прошу вашей Вирус характеризуется тем, что при открытии флешки на ней находятся не...

Вирус, который создает ярлык флешки на самой флешке
Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при...

__________________

Записывайтесь на профессиональные курсы специалистов по кибербезопасности
13
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
19.07.2013, 13:34 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код
F3 - REG:win.ini: load=C:\Users\Saturn\LOCALS~1\Temp\ccfohi.cmd
2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Saturn\AppData\Local\Temp\lryekqxdjpvcioubhntagmszflryekqx.com','');
 QuarantineFile('C:\Users\Saturn\LOCALS~1\Temp\ccfohi.cmd','');
 DeleteFile('C:\Users\Saturn\LOCALS~1\Temp\ccfohi.cmd','32');
 DeleteFile('C:\Users\Saturn\AppData\Local\Temp\lryekqxdjpvcioubhntagmszflryekqx.com','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
 INIEraseParam('C:\WINDOWS\win.ini','windows','load');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

7. Эти папки вам знакомы?
C:\ProgramData\Зоркий глаз
C:\Program Files\Зоркий глаз
1
0 / 0 / 0
Регистрация: 19.07.2013
Сообщений: 7
19.07.2013, 15:32  [ТС] 3
7. Эти папки вам знакомы?
C:\ProgramData\Зоркий глаз
C:\Program Files\Зоркий глаз
Эта утилита была установлена уже после заражения компьютера
0
Вложения
Тип файла: zip info.zip (5.8 Кб, 4 просмотров)
Тип файла: zip log.zip (8.1 Кб, 3 просмотров)
Тип файла: zip virusinfo_syscheck.zip (13.1 Кб, 2 просмотров)
Тип файла: zip virusinfo_syscure.zip (13.4 Кб, 5 просмотров)
Тип файла: zip MBAM-log-2013-07-19 (18-20-30).zip (1.2 Кб, 4 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
19.07.2013, 19:12 4
1. Удалите в МВАМ эти строки:
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Параметры: C:\Users\Saturn\LOCALS~1\Temp\ccfohi.cmd -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Параметры: C:\Users\Saturn\LOCALS~1\Temp\ccfohi.cmd -> Действие не было предпринято.
2. Подготовьте новые логи AVZ - станд.скрипт №2
3. Меню Пуск->Выполнить->наберите cmd->запустите по правой кнопке от имени администратора->откроется командная строка или
перейдите в списке программ к командной строке из контекстного меню (правый клик) выберите "запустить от имени администратора".
В запущенной командной строке выполните:
Код
attrib -s -h -a -r H:\* /s /d
H:\ - буква вашей флешки, а если другая буква , замените H:\ в команде на нужную. После этого папки должны стать видимыми.
1
0 / 0 / 0
Регистрация: 19.07.2013
Сообщений: 7
20.07.2013, 07:18  [ТС] 5
Новый лог AVZ
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (13.5 Кб, 9 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
20.07.2013, 07:24 6
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

a) Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
b) Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Добавлено через 1 минуту
EPSON P50 Series
EPSON Stylus Photo R290 Series
У вас такие есть?
1
0 / 0 / 0
Регистрация: 19.07.2013
Сообщений: 7
20.07.2013, 08:48  [ТС] 7
EPSON P50 Series
EPSON Stylus Photo R290 Series
У вас такие есть?
Есть.

Лог Combofix во вложении.
0
Вложения
Тип файла: zip ComboFix.zip (4.9 Кб, 9 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
20.07.2013, 12:32 8
Цитата Сообщение от shestale Посмотреть сообщение
1. Удалите в МВАМ эти строки:
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Параметры: C:\Users\Saturn\LOCALS~1\Temp\ccfohi.cmd -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Параметры: C:\Users\Saturn\LOCALS~1\Temp\ccfohi.cmd -> Действие не было предпринято.
Вы точно через МВАМ это удалили?

На флешке информация восстановилась?

Деинсталлируйте ComboFix:
a) Нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
(Возможно придется указать полный путь, например "C:\Users\User\Desktop\Combofix.exe" /Uninstall )

http://safezone.cc/images/combofix-uninstall.jpg

b) Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Добавлено через 6 минут
Цитата Сообщение от shestale Посмотреть сообщение
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
Отправляли? Если отправляли, тогда продублируйте на почту.
1
0 / 0 / 0
Регистрация: 19.07.2013
Сообщений: 7
20.07.2013, 12:50  [ТС] 9
Цитата Сообщение от shestale Посмотреть сообщение
Вы точно через МВАМ это удалили?
Да.

Цитата Сообщение от shestale Посмотреть сообщение
На флешке информация восстановилась?
Флешку уже отформатировали.

Файл с карантином отправлял через форму отправки, сейчас отправил на почту.
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
20.07.2013, 14:45 10
Сейчас карантин пришел.
Цитата Сообщение от saturn43 Посмотреть сообщение
Да.
Хм-м.., странно, может тогда вы лог AVZ сделали до его удаления? Повторите для контроля лог AVZ - станд. скрипт №2.
0
0 / 0 / 0
Регистрация: 19.07.2013
Сообщений: 7
20.07.2013, 14:56  [ТС] 11
Цитата Сообщение от shestale Посмотреть сообщение
может тогда вы лог AVZ сделали до его удаления?
Может чего и напутал, у нас тут на работе жара градусов 35 в помещении, аж мозги плавятся.
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (13.5 Кб, 4 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
20.07.2013, 15:04 12
Да, вы его сделали до удаления. Теперь вижу что чисто.

Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО
1
0 / 0 / 0
Регистрация: 19.07.2013
Сообщений: 7
26.07.2013, 06:27  [ТС] 13
Огромное спасибо за помощь!!!

Лог SecurityCheck:
Кликните здесь для просмотра всего текста
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 26.07.2013 09:21:03
Program directory: C:\Users\Saturn\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=5.1
Диск C:\ ФС: NTFS Емкость: (43.9 Гб) Занято: (17.5 Гб) Свободно: (26.4 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 13.07.2013 10:08:05
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Avira Desktop
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Avira Desktop
Windows Defender
-------------AntiVirusFirewallInstall-------------
Avira Free Antivirus v.13.0.0.3884
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.8.800.94
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 22.0 (x86 ru) v.22.0
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.22.0.0.4917
-------------EndLog-------------------------------
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
26.07.2013, 07:12 14
Удачи!
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
26.07.2013, 07:12

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Вирус, который создает ярлык флешки на самой флешке
Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при...

Вирус, который создает ярлык флешки на самой флешке
Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при...

Вирус, который создает ярлык флешки на самой флешке
Подцепил вирус на левом компьютере, по ошибке перенес на свой. Самостоятельно удалить не получается.

Вирус, который создает ярлык флешки на самой флешке - Удаление вирусов
Открываю флешки, но на них вместо файлов, ярлык самой флешки.


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
14
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.