Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.77/109: Рейтинг темы: голосов - 109, средняя оценка - 4.77
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
1

Вирус, который создает ярлык флешки на самой флешке

06.10.2013, 16:02. Просмотров 20985. Ответов 15
Метки нет (Все метки)


Здравствуйте! Спасибо форуму за возможность найти здесь помощь
Вирус характеризуется тем, что при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки. При чем этот ярлык создается именно в тот момент, когда флешка вставляется, даже отформатированная до того.
Антивирус этот ярлык распознает и удаляет, в итоге получается, что доступ к файлам пропал вместе с ярлыком, но место они занимают.
Пожалуйста, помогите разрешить эту проблему.
Вот все необходимые материалы, надеюсь, что все сделала правильно:
virusinfo_syscheck.zip

virusinfo_syscure.zip

info.rar

log.rar
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
06.10.2013, 16:02
Ответы с готовыми решениями:

Вирус, который создает ярлык флешки на самой флешке
Здравствуйте! Прошу вашей Вирус характеризуется тем, что при открытии флешки на ней находятся не...

Вирус, который создает ярлык флешки на самой флешке
Подцепил вирус на левом компьютере, по ошибке перенес на свой. Самостоятельно удалить не получается.

Вирус, который создает ярлык флешки на самой флешке
Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при...

Вирус, который создает ярлык флешки на самой флешке
Принесли флешку, там эта вирусня, я попытался удалить его сам но все тщетно, после этого вставил...

__________________
Помогаю в написании студенческих работ здесь.
Записывайтесь на профессиональные курсы специалистов по кибербезопасности
15
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.10.2013, 18:03 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код
F3 - REG:win.ini: load=C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif','');
 QuarantineFile('C:\Windows\system32\sho9B53.tmp','');
 DeleteFile('C:\Windows\system32\sho9B53.tmp');
 DeleteFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
 INIEraseParam('C:\WINDOWS\win.ini','windows','load');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c48b38de91c0f7147c7a6013bf6923c8a8f40e2fe2645afe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
1
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
09.10.2013, 05:20  [ТС] 3
Вот, надеюсь, что все сделала как нужно
0
Вложения
Тип файла: rar log.rar (10.8 Кб, 20 просмотров)
Тип файла: rar protection-log-2013-10-08.rar (598 байт, 17 просмотров)
Тип файла: rar info.rar (9.2 Кб, 12 просмотров)
Тип файла: zip virusinfo_autoquarantine.zip (22 байт, 13 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
09.10.2013, 06:49 4
Цитата Сообщение от UlianaV Посмотреть сообщение
Вот, надеюсь, что все сделала как нужно
Нет. Не вижу от вас логов AVZ(virusinfo_syscure.zip и virusinfo_syscheck.zip), и лога Malwarebytes' Anti-Malware.
1
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
09.10.2013, 11:34  [ТС] 5
Извините, вот они
Они ведь заменяют собой предыдущие, верно?
А protection-log-2013-10-08.rar - и есть лог Malwarebytes' Anti-Malware, на сколько понимаю, там другого не было просто
Нетбук сделал перезагрузку сразу после сканирования этой программой, а этот лог нашла во вкладке с отчетами
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (35.1 Кб, 23 просмотров)
Тип файла: zip virusinfo_syscure.zip (36.7 Кб, 5 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
09.10.2013, 12:32 6
Значит нужно еще раз просканировать, и выложить лог Malwarebytes' Anti-Malware.
2
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
10.10.2013, 10:16  [ТС] 7
Вот лог:
0
Вложения
Тип файла: rar MBAM-log-2013-10-10 (09-11-13).rar (1.4 Кб, 12 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
10.10.2013, 11:09 8
1. Удалите в МВАМ
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Параметры: C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif -> Действие не было предпринято.
C:\temp\TrustedInstaller.exe (Trojan.Bot.RV) -> Действие не было предпринято.
Лог после удаления выложите.

2. Проверьте на Virus Total этот файл, для этого пройдите по ссылке, нажмите в окно для ввода файла, загрузите файл и нажмите Проверить!, ссылку на результат запостите здесь.
C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE
C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE
1
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
11.10.2013, 04:50  [ТС] 9
https://www.virustotal.com/ru/... 381452202/
https://www.virustotal.com/ru/... 381452417/
0
Вложения
Тип файла: rar MBAM-log-2013-10-11 (03-20-11).rar (1.4 Кб, 14 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
11.10.2013, 08:00 10
1. Измените права доступа к разделу реестра
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load
и удалите в нем параметр
C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif
2. Эти файлы удалите:
C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE
C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE
3. Скопируйте(без цифры 1) следующий текст в Блокнот и сохраните, как run.bat:
Код
attrib "*" -s -h -a -r /s /d
скопируйте файл run.bat в корень флешки и запустите.
Внимание, не запускайте этот файл, когда он находится на жестком диске.
1
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
11.10.2013, 12:12  [ТС] 11
Выполнила
Это все?
0
Вирусоборец
15823 / 13174 / 2327
Регистрация: 08.10.2012
Сообщений: 53,479
11.10.2013, 12:18 12
Если проблем больше нет, то:

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.
2
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
11.10.2013, 12:44  [ТС] 13
Большое спасибо shestale и форуму, проблема действительно устранена!
Но ссылка на SecurityCheck by glax24 не работает, к сожалению (скрин)
Можно скачать отсюда: http://safezone.cc/resources/19945/ , так понимаю, без разницы?
0
Миниатюры
Вирус, который создает ярлык флешки на самой флешке  
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
11.10.2013, 12:46 14
Можно, качайте.
Попробуйте почистить кэш и куки в браузерах, т.к. сервер уже доступен.
1
0 / 0 / 0
Регистрация: 06.10.2013
Сообщений: 8
11.10.2013, 12:59  [ТС] 15
Большое Вам спасибо! Очень помогли!) Простите, что заняла время. Удачи Вам в Вашем деле!

И вот лог:

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 11.10.2013 11:52:35
Run directory: C:\Users\Вика\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 5.9
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Starter Lang: Russian(0419)
Дата установки ОС: 16.12.2010 14:32:33
Статус лицензии: Windows(R) 7, Starter edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [133.2 Гб] Занято: [129.4 Гб] Свободно: [3.8 Гб]
Браузер по умолчанию: C:\Users\Вика\AppData\Local\Google\Chrome\Application\chrome .exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16686
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-10-09 00:03:56
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Антивірус ESET NOD32 5.0
Антивирус устарел
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Антивірус ESET NOD32 5.0
Windows Defender
-------------AntiVirusFirewallInstall-------------
ESET NOD32 Antivirus v.5.0.95.0
-------------OtherUtilities-----------------------
CCleaner v.3.25
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 23 v.6.0.230 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Java Auto Updater v.2.0.2.4
-------------AppleProduction----------------------
QuickTime v.7.69.80.9 Внимание! Скачать обновления
Bonjour v.3.0.0.10
Bonjour Service (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 [+]
Adobe Flash Player 11 Plugin v.11.9.900.117 [+]
Adobe Shockwave Player 11.5 v.11.5.7.609 Внимание! Скачать обновления
Adobe Reader 9.3 - Russian v.9.3.0 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления
Opera 12.11 v.12.11.1661 Внимание! Скачать обновления
^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
Google Chrome v.30.0.1599.69 [+]
-------------RunningProcess-----------------------
C:\Users\Вика\AppData\Local\Google\Chrome\Application\chrome .exe v.30.0.1599.69
-------------EndLog-------------------------------
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
11.10.2013, 13:02 16
Обновитесь обязательно. И вам Удачи!

Добавлено через 27 секунд
Рекомендации после удаления вредоносного ПО
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
11.10.2013, 13:02

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Вирус, который создает ярлык флешки на самой флешке
Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при...

Вирус, который создает ярлык флешки на самой флешке - Удаление вирусов
Открываю флешки, но на них вместо файлов, ярлык самой флешки.

Вирус, который создает ярлык флешки на самой флешки
Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при...

Вирус создаёт ярлык флешки на флешке
Здравствуйте, на компьютере завёлся вирус, который создаёт ярлык флешки на флешке. Помогите,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.