Вирус, который создает ярлык флешки на самой флешке

@UlianaV · Регистрация: 06.10.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте! Спасибо форуму за возможность найти здесь помощь
Вирус характеризуется тем, что при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки. При чем этот ярлык создается именно в тот момент, когда флешка вставляется, даже отформатированная до того.
Антивирус этот ярлык распознает и удаляет, в итоге получается, что доступ к файлам пропал вместе с ярлыком, но место они занимают.
Пожалуйста, помогите разрешить эту проблему.
Вот все необходимые материалы, надеюсь, что все сделала правильно:
virusinfo_syscheck.zip

virusinfo_syscure.zip

info.rar

log.rar

@shestale · 06.10.2013, 18:03

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".

Code
1
2
F3 - REG:win.ini: load=C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif','');
 QuarantineFile('C:\Windows\system32\sho9B53.tmp','');
 DeleteFile('C:\Windows\system32\sho9B53.tmp');
 DeleteFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
 INIEraseParam('C:\WINDOWS\win.ini','windows','load');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c48b38de91c0f7147c7a6013bf6923c8a8f40e2fe2645afe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:

Code
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@UlianaV · 09.10.2013, 05:20 **[ТС]**

Вот, надеюсь, что все сделала как нужно

@shestale · 09.10.2013, 06:49

Сообщение от UlianaV

Вот, надеюсь, что все сделала как нужно

Нет. Не вижу от вас логов AVZ(virusinfo_syscure.zip и virusinfo_syscheck.zip), и лога Malwarebytes' Anti-Malware.

@UlianaV · 09.10.2013, 11:34 **[ТС]**

Извините, вот они
Они ведь заменяют собой предыдущие, верно?
А protection-log-2013-10-08.rar - и есть лог Malwarebytes' Anti-Malware, на сколько понимаю, там другого не было просто
Нетбук сделал перезагрузку сразу после сканирования этой программой, а этот лог нашла во вкладке с отчетами

@shestale · 09.10.2013, 12:32

Значит нужно еще раз просканировать, и выложить лог Malwarebytes' Anti-Malware.

@UlianaV · 10.10.2013, 10:16 **[ТС]**

Вот лог:

@shestale · 10.10.2013, 11:09

1. Удалите в МВАМ

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Параметры: C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pi f -> Действие не было предпринято.
C:\temp\TrustedInstaller.exe (Trojan.Bot.RV) -> Действие не было предпринято.

Лог после удаления выложите.

2. Проверьте на Virus Total этот файл, для этого пройдите по ссылке, нажмите в окно для ввода файла, загрузите файл и нажмите Проверить!, ссылку на результат запостите здесь.

C:\Users\Вика\AppData\Roaming\Thinstall\ Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE
C:\Users\Вика\AppData\Roaming\Thinstall\ Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE

@UlianaV · 11.10.2013, 04:50 **[ТС]**

https://www.virustotal.com/ru/... 381452202/
https://www.virustotal.com/ru/... 381452417/

@shestale · 11.10.2013, 08:00

1. Измените права доступа к разделу реестра

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load

и удалите в нем параметр

C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pi f

2. Эти файлы удалите:

C:\Users\Вика\AppData\Roaming\Thinstall\ Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE
C:\Users\Вика\AppData\Roaming\Thinstall\ Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE

3. Скопируйте(без цифры 1) следующий текст в Блокнот и сохраните, как run.bat:

Code
1
attrib "*" -s -h -a -r /s /d

скопируйте файл run.bat в корень флешки и запустите.
Внимание, не запускайте этот файл, когда он находится на жестком диске.

@UlianaV · 11.10.2013, 12:12 **[ТС]**

Выполнила
Это все?

@Sandor · 11.10.2013, 12:18

Если проблем больше нет, то:

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

@UlianaV · 11.10.2013, 12:44 **[ТС]**

Большое спасибо shestale и форуму, проблема действительно устранена!
Но ссылка на SecurityCheck by glax24 не работает, к сожалению (скрин)
Можно скачать отсюда: http://safezone.cc/resources/19945/ , так понимаю, без разницы?

@shestale · 11.10.2013, 12:46

Можно, качайте.
Попробуйте почистить кэш и куки в браузерах, т.к. сервер уже доступен.

@UlianaV · 11.10.2013, 12:59 **[ТС]**

Большое Вам спасибо! Очень помогли!) Простите, что заняла время. Удачи Вам в Вашем деле!

И вот лог:

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 11.10.2013 11:52:35
Run directory: C:\Users\Вика\AppData\Local\Temp\Securit yCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 5.9
________________________________________ __________

Windows 7 (6.1.7601) Service Pack 1 (x86) Starter Lang: Russian(0419)
Дата установки ОС: 16.12.2010 14:32:33
Статус лицензии: Windows(R) 7, Starter edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [133.2 Гб] Занято: [129.4 Гб] Свободно: [3.8 Гб]
Браузер по умолчанию: C:\Users\Вика\AppData\Local\Google\Chrom e\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16686
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-10-09 00:03:56
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Антивірус ESET NOD32 5.0
Антивирус устарел
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Антивірус ESET NOD32 5.0
Windows Defender
-------------AntiVirusFirewallInstall-------------
ESET NOD32 Antivirus v.5.0.95.0
-------------OtherUtilities-----------------------
CCleaner v.3.25
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 23 v.6.0.230 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Java Auto Updater v.2.0.2.4
-------------AppleProduction----------------------
QuickTime v.7.69.80.9 Внимание! Скачать обновления
Bonjour v.3.0.0.10
Bonjour Service (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 [+]
Adobe Flash Player 11 Plugin v.11.9.900.117 [+]
Adobe Shockwave Player 11.5 v.11.5.7.609 Внимание! Скачать обновления
Adobe Reader 9.3 - Russian v.9.3.0 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления
Opera 12.11 v.12.11.1661 Внимание! Скачать обновления
^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
Google Chrome v.30.0.1599.69 [+]
-------------RunningProcess-----------------------
C:\Users\Вика\AppData\Local\Google\Chrom e\Application\chrome.exe v.30.0.1599.69
-------------EndLog-------------------------------

@shestale · 11.10.2013, 13:02

Обновитесь обязательно. И вам Удачи!

Добавлено через 27 секунд
Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8

	Вирус, который создает ярлык флешки на самой флешке 06.10.2013, 16:02. Показов 22846. Ответов 15 Метки нет (Все метки) Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки. При чем этот ярлык создается именно в тот момент, когда флешка вставляется, даже отформатированная до того. Антивирус этот ярлык распознает и удаляет, в итоге получается, что доступ к файлам пропал вместе с ярлыком, но место они занимают. Пожалуйста, помогите разрешить эту проблему. Вот все необходимые материалы, надеюсь, что все сделала правильно: virusinfo_syscheck.zip virusinfo_syscure.zip info.rar log.rar 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	09.10.2013, 12:32
	Значит нужно еще раз просканировать, и выложить лог Malwarebytes' Anti-Malware. 2

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8
	11.10.2013, 12:12 [ТС]
	Выполнила Это все? 0

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,851
	11.10.2013, 12:18
	Если проблем больше нет, то: Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 2

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8
	11.10.2013, 12:44 [ТС]
	Большое спасибо shestale и форуму, проблема действительно устранена! Но ссылка на SecurityCheck by glax24 не работает, к сожалению (скрин) Можно скачать отсюда: http://safezone.cc/resources/19945/ , так понимаю, без разницы? Миниатюры 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	11.10.2013, 12:46
	Можно, качайте. Попробуйте почистить кэш и куки в браузерах, т.к. сервер уже доступен. 1

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8
	11.10.2013, 12:59 [ТС]
	Большое Вам спасибо! Очень помогли!) Простите, что заняла время. Удачи Вам в Вашем деле! И вот лог: Security Check by glax24 version 0.2.4.58 rc1 WebSite: www.safezone.cc DateLog: 11.10.2013 11:52:35 Run directory: C:\Users\Вика\AppData\Local\Temp\Securit yCheck\ Log directory: C:\SecurityCheck\ IsAdmin: False FileVersionInet: 5.9 ________________________________________ __________ Windows 7 (6.1.7601) Service Pack 1 (x86) Starter Lang: Russian(0419) Дата установки ОС: 16.12.2010 14:32:33 Статус лицензии: Windows(R) 7, Starter edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [133.2 Гб] Занято: [129.4 Гб] Свободно: [3.8 Гб] Браузер по умолчанию: C:\Users\Вика\AppData\Local\Google\Chrom e\Application\chrome.exe -------------Windows------------------------------ Internet Explorer 9.10.9200.16686 Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2013-10-09 00:03:56 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Антивірус ESET NOD32 5.0 Антивирус устарел -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Антивірус ESET NOD32 5.0 Windows Defender -------------AntiVirusFirewallInstall------------- ESET NOD32 Antivirus v.5.0.95.0 -------------OtherUtilities----------------------- CCleaner v.3.25 Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- Java(TM) 6 Update 23 v.6.0.230 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^ Java Auto Updater v.2.0.2.4 -------------AppleProduction---------------------- QuickTime v.7.69.80.9 Внимание! Скачать обновления Bonjour v.3.0.0.10 Bonjour Service (Bonjour Service) - Служба работает -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.9.900.117 [+] Adobe Flash Player 11 Plugin v.11.9.900.117 [+] Adobe Shockwave Player 11.5 v.11.5.7.609 Внимание! Скачать обновления Adobe Reader 9.3 - Russian v.9.3.0 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления Opera 12.11 v.12.11.1661 Внимание! Скачать обновления ^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^ Google Chrome v.30.0.1599.69 [+] -------------RunningProcess----------------------- C:\Users\Вика\AppData\Local\Google\Chrom e\Application\chrome.exe v.30.0.1599.69 -------------EndLog------------------------------- 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	11.10.2013, 13:02
	Обновитесь обязательно. И вам Удачи! Добавлено через 27 секунд Рекомендации после удаления вредоносного ПО 0