Вирус, который создает ярлык флешки на самой флешке

@UlianaV · Регистрация: 06.10.2013

Здравствуйте! Спасибо форуму за возможность найти здесь помощь
Вирус характеризуется тем, что при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки. При чем этот ярлык создается именно в тот момент, когда флешка вставляется, даже отформатированная до того.
Антивирус этот ярлык распознает и удаляет, в итоге получается, что доступ к файлам пропал вместе с ярлыком, но место они занимают.
Пожалуйста, помогите разрешить эту проблему.
Вот все необходимые материалы, надеюсь, что все сделала правильно:
virusinfo_syscheck.zip

virusinfo_syscure.zip

info.rar

log.rar

@shestale · 06.10.2013, 18:03

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".

Код

F3 - REG:win.ini: load=C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif','');
 QuarantineFile('C:\Windows\system32\sho9B53.tmp','');
 DeleteFile('C:\Windows\system32\sho9B53.tmp');
 DeleteFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
 INIEraseParam('C:\WINDOWS\win.ini','windows','load');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c48b38de91c0f7147c7a6013bf6923c8a8f40e2fe2645afe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@UlianaV · 09.10.2013, 05:20 **[ТС]**

Вот, надеюсь, что все сделала как нужно

@shestale · 09.10.2013, 06:49

Сообщение от UlianaV

Вот, надеюсь, что все сделала как нужно

Нет. Не вижу от вас логов AVZ(virusinfo_syscure.zip и virusinfo_syscheck.zip), и лога Malwarebytes' Anti-Malware.

@UlianaV · 09.10.2013, 11:34 **[ТС]**

Извините, вот они
Они ведь заменяют собой предыдущие, верно?
А protection-log-2013-10-08.rar - и есть лог Malwarebytes' Anti-Malware, на сколько понимаю, там другого не было просто
Нетбук сделал перезагрузку сразу после сканирования этой программой, а этот лог нашла во вкладке с отчетами

@shestale · 09.10.2013, 12:32

Значит нужно еще раз просканировать, и выложить лог Malwarebytes' Anti-Malware.

@UlianaV · 10.10.2013, 10:16 **[ТС]**

Вот лог:

@shestale · 10.10.2013, 11:09

1. Удалите в МВАМ

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Параметры: C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif -> Действие не было предпринято.
C:\temp\TrustedInstaller.exe (Trojan.Bot.RV) -> Действие не было предпринято.

Лог после удаления выложите.

2. Проверьте на Virus Total этот файл, для этого пройдите по ссылке, нажмите в окно для ввода файла, загрузите файл и нажмите Проверить!, ссылку на результат запостите здесь.

C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE
C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE

@UlianaV · 11.10.2013, 04:50 **[ТС]**

https://www.virustotal.com/ru/... 381452202/
https://www.virustotal.com/ru/... 381452417/

@shestale · 11.10.2013, 08:00

1. Измените права доступа к разделу реестра

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load

и удалите в нем параметр

C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif

2. Эти файлы удалите:

C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE
C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE

3. Скопируйте(без цифры 1) следующий текст в Блокнот и сохраните, как run.bat:

Код

attrib "*" -s -h -a -r /s /d

скопируйте файл run.bat в корень флешки и запустите.
Внимание, не запускайте этот файл, когда он находится на жестком диске.

@UlianaV · 11.10.2013, 12:12 **[ТС]**

Выполнила
Это все?

@Sandor · 11.10.2013, 12:18

Если проблем больше нет, то:

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

@UlianaV · 11.10.2013, 12:44 **[ТС]**

Большое спасибо shestale и форуму, проблема действительно устранена!
Но ссылка на SecurityCheck by glax24 не работает, к сожалению (скрин)
Можно скачать отсюда: http://safezone.cc/resources/19945/ , так понимаю, без разницы?

@shestale · 11.10.2013, 12:46

Можно, качайте.
Попробуйте почистить кэш и куки в браузерах, т.к. сервер уже доступен.

@UlianaV · 11.10.2013, 12:59 **[ТС]**

Большое Вам спасибо! Очень помогли!) Простите, что заняла время. Удачи Вам в Вашем деле!

И вот лог:

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 11.10.2013 11:52:35
Run directory: C:\Users\Вика\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 5.9
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Starter Lang: Russian(0419)
Дата установки ОС: 16.12.2010 14:32:33
Статус лицензии: Windows(R) 7, Starter edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [133.2 Гб] Занято: [129.4 Гб] Свободно: [3.8 Гб]
Браузер по умолчанию: C:\Users\Вика\AppData\Local\Google\Chrome\Application\chrome .exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16686
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-10-09 00:03:56
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Антивірус ESET NOD32 5.0
Антивирус устарел
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Антивірус ESET NOD32 5.0
Windows Defender
-------------AntiVirusFirewallInstall-------------
ESET NOD32 Antivirus v.5.0.95.0
-------------OtherUtilities-----------------------
CCleaner v.3.25
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 23 v.6.0.230 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Java Auto Updater v.2.0.2.4
-------------AppleProduction----------------------
QuickTime v.7.69.80.9 Внимание! Скачать обновления
Bonjour v.3.0.0.10
Bonjour Service (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 [+]
Adobe Flash Player 11 Plugin v.11.9.900.117 [+]
Adobe Shockwave Player 11.5 v.11.5.7.609 Внимание! Скачать обновления
Adobe Reader 9.3 - Russian v.9.3.0 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления
Opera 12.11 v.12.11.1661 Внимание! Скачать обновления
^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
Google Chrome v.30.0.1599.69 [+]
-------------RunningProcess-----------------------
C:\Users\Вика\AppData\Local\Google\Chrome\Application\chrome .exe v.30.0.1599.69
-------------EndLog-------------------------------

@shestale · 11.10.2013, 13:02

Обновитесь обязательно. И вам Удачи!

Добавлено через 27 секунд
Рекомендации после удаления вредоносного ПО

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8
		1
	Вирус, который создает ярлык флешки на самой флешке 06.10.2013, 16:02. Просмотров 20985. Ответов 15 Метки нет (Все метки) Здравствуйте! Спасибо форуму за возможность найти здесь помощь Вирус характеризуется тем, что при открытии флешки на ней находятся не файлы, а ярлык на саму флешку, и только когда открыть этот ярлык можно найти файлы с флешки. При чем этот ярлык создается именно в тот момент, когда флешка вставляется, даже отформатированная до того. Антивирус этот ярлык распознает и удаляет, в итоге получается, что доступ к файлам пропал вместе с ярлыком, но место они занимают. Пожалуйста, помогите разрешить эту проблему. Вот все необходимые материалы, надеюсь, что все сделала правильно: virusinfo_syscheck.zip virusinfo_syscure.zip info.rar log.rar 0

@shestale 8608 / 4178 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	06.10.2013, 18:03	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. 1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked". Код F3 - REG:win.ini: load=C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) 2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif',''); QuarantineFile('C:\Windows\system32\sho9B53.tmp',''); DeleteFile('C:\Windows\system32\sho9B53.tmp'); DeleteFile('C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load'); INIEraseParam('C:\WINDOWS\win.ini','windows','load'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c48b38de91c0f7147c7a6013bf6923c8a8f40e2fe2645afe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 3. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 5. Подготовьте новые логи AVZ и Rsit. 6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте! 1

@shestale 8608 / 4178 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	09.10.2013, 06:49	4
	Сообщение от UlianaV Вот, надеюсь, что все сделала как нужно Нет. Не вижу от вас логов AVZ(virusinfo_syscure.zip и virusinfo_syscheck.zip), и лога Malwarebytes' Anti-Malware. 1

@shestale 8608 / 4178 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	09.10.2013, 12:32	6
	Значит нужно еще раз просканировать, и выложить лог Malwarebytes' Anti-Malware. 2

@shestale 8608 / 4178 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	10.10.2013, 11:09	8
	1. Удалите в МВАМ HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\|Load (PUM.UserWLoad) -> Параметры: C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif -> Действие не было предпринято. C:\temp\TrustedInstaller.exe (Trojan.Bot.RV) -> Действие не было предпринято. Лог после удаления выложите. 2. Проверьте на Virus Total этот файл, для этого пройдите по ссылке, нажмите в окно для ввода файла, загрузите файл и нажмите Проверить!, ссылку на результат запостите здесь. C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE 1

@shestale 8608 / 4178 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	11.10.2013, 08:00	10
	1. Измените права доступа к разделу реестра HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\|Load и удалите в нем параметр C:\Users\4600~1\LOCALS~1\Temp\msvfnyv.pif 2. Эти файлы удалите: C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\2e000000eb00002i\DW20.EXE C:\Users\Вика\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\300000005dd00002i\POWERPNT.EXE 3. Скопируйте(без цифры 1) следующий текст в Блокнот и сохраните, как run.bat: Код attrib "*" -s -h -a -r /s /d скопируйте файл run.bat в корень флешки и запустите. Внимание, не запускайте этот файл, когда он находится на жестком диске. 1

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8
	11.10.2013, 12:12 [ТС]	11
	Выполнила Это все? 0

@Sandor 15823 / 13174 / 2327 Регистрация: 08.10.2012 Сообщений: 53,479
	11.10.2013, 12:18	12
	Если проблем больше нет, то: Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 2

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8
	11.10.2013, 12:44 [ТС]	13
	Большое спасибо shestale и форуму, проблема действительно устранена! Но ссылка на SecurityCheck by glax24 не работает, к сожалению (скрин) Можно скачать отсюда: http://safezone.cc/resources/19945/ , так понимаю, без разницы? 0 Миниатюры

@shestale 8608 / 4178 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	11.10.2013, 12:46	14
	Можно, качайте. Попробуйте почистить кэш и куки в браузерах, т.к. сервер уже доступен. 1

Опции темы

@UlianaV 0 / 0 / 0 Регистрация: 06.10.2013 Сообщений: 8
	11.10.2013, 12:59 [ТС]	15
	Большое Вам спасибо! Очень помогли!) Простите, что заняла время. Удачи Вам в Вашем деле! И вот лог: Security Check by glax24 version 0.2.4.58 rc1 WebSite: www.safezone.cc DateLog: 11.10.2013 11:52:35 Run directory: C:\Users\Вика\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: False FileVersionInet: 5.9 __________________________________________________ Windows 7 (6.1.7601) Service Pack 1 (x86) Starter Lang: Russian(0419) Дата установки ОС: 16.12.2010 14:32:33 Статус лицензии: Windows(R) 7, Starter edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [133.2 Гб] Занято: [129.4 Гб] Свободно: [3.8 Гб] Браузер по умолчанию: C:\Users\Вика\AppData\Local\Google\Chrome\Application\chrome .exe -------------Windows------------------------------ Internet Explorer 9.10.9200.16686 Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2013-10-09 00:03:56 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Антивірус ESET NOD32 5.0 Антивирус устарел -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Антивірус ESET NOD32 5.0 Windows Defender -------------AntiVirusFirewallInstall------------- ESET NOD32 Antivirus v.5.0.95.0 -------------OtherUtilities----------------------- CCleaner v.3.25 Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- Java(TM) 6 Update 23 v.6.0.230 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^ Java Auto Updater v.2.0.2.4 -------------AppleProduction---------------------- QuickTime v.7.69.80.9 Внимание! Скачать обновления Bonjour v.3.0.0.10 Bonjour Service (Bonjour Service) - Служба работает -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.9.900.117 [+] Adobe Flash Player 11 Plugin v.11.9.900.117 [+] Adobe Shockwave Player 11.5 v.11.5.7.609 Внимание! Скачать обновления Adobe Reader 9.3 - Russian v.9.3.0 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления Opera 12.11 v.12.11.1661 Внимание! Скачать обновления ^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^ Google Chrome v.30.0.1599.69 [+] -------------RunningProcess----------------------- C:\Users\Вика\AppData\Local\Google\Chrome\Application\chrome .exe v.30.0.1599.69 -------------EndLog------------------------------- 0

@shestale 8608 / 4178 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	11.10.2013, 13:02	16
	Обновитесь обязательно. И вам Удачи! Добавлено через 27 секунд Рекомендации после удаления вредоносного ПО 0