В работе Вирусы на флешках и на компе

[RuMax]

Ранее я поймал вирус, у меня открывался браузер с разной рекламой, я особо не парился, ну выскакивает и ладно, безобидно, потом я что-то сделал, это прекратилось. Но на флешке появился вирус (связано или нет - не ясно). Когда антивирус о нем сообщает и предлагает исправить, то на флешке создаются файлы, как на скриншоте. Я эти папки не открываю. Но потом, если на эту же флешку что-то закачать, например фильм, то снова предупреждение о вирусе и предложение исправить. Дефрагментация флешки не помогает, на отформатированной все равно такая же штука появляется.

У коллег тоже такие проблемы с флешками. Мы по очереди из дома приносим разную информацию на флешках своих на один комп и у всех сейчас, судя по всему, есть проблемы те или иные с флешками. Чьи-то вообще у них дома не открываются, хотя на работе, с компа открывается, с телефона тоже видно. Но открытие не стандартное - вместо названия папки - пустое место и нажимая на пустое место с некоторых компов флешка открывается, а с некоторых нет.

Сейчас надо во-первых, проверить мой ноут, понять что за вирус и попытаться очистить все флешки у всех и проверить чем-то чужие компы тоже.

После проверки ноута прошу подсказать как и чем вылечить все флешки, а также, как проверить чужие компьютеры? Ну и собственно уже потом думать как лечить чужие компы, если понадобится.

 

[Severnyj]

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1driv', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1driv', 'x64');
 DeleteSchedulerTask('1driv');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Пофиксите в HJT (некоторые строки могут отсутствовать):

O4 - HKCU\..\StartupApproved\Run: [1driv] = C:\Windows\system32\cmd.exe /c start vvv.bongbonger.org (2025/05/11) (sign: 'Microsoft')
O4 - MountPoints2: HKCU\..\{144d9c08-9ef7-11ef-bfdd-40490f6a8e04}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{583b4877-56a1-11ee-bfa4-40490f6a8e04}\shell\AutoRun\command: (default) = I:\setup.exe (file missing)
O7 - KnownFolder:  (folder missing)
O7 - KnownFolder: C:\Users\defaultuser100001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (folder missing)
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone (User: '')
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - BITS Job: (download) {1506AF8C-1693-4118-A4ED-10679DA8A1FE} - hxxps://download-installer.cdn.mozilla.net/pub/firefox/releases/138.0.3/update/win64/ru/firefox-138.0.1-138.0.3.partial.mar -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\updates\downloading\update.mar
O22 - BITS Job: (download) {A66AA0D3-2680-48D7-8CBD-A2A825DBF6F7} - hxxps://download-installer.cdn.mozilla.net/pub/firefox/releases/138.0.3/update/win64/ru/firefox-138.0.1-138.0.3.partial.mar -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\updates\downloading\update.mar
O22 - BITS Job: (download) {CD2DCAA9-EBDE-4AF6-BB4F-ECECC6AEFE10} - hxxps://download-installer.cdn.mozilla.net/pub/firefox/releases/138.0.3/update/win64/ru/firefox-138.0.1-138.0.3.partial.mar -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\updates\downloading\update.mar
O22 - BITS Job: (download) {DE2F5C80-B5BF-45FF-B225-341E8677FCEB} - MicrosoftMapsBingGeoStore - (no URL)
O22 - BITS Job: Fix all (including legit)
O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem140.0.7273.0{98D6D055-9D82-495E-8799-6E39675EC3B8} - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7273.0\updater.exe --wake --system (sign: 'Google LLC')
O22 - Tasks: 1driv - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v 1driv /t REG_SZ /d "cmd.exe /c start vvv.bongbonger.org" (sign: 'Microsoft')
O23 - Service S2: Внутренний сервис Google Updater (GoogleUpdaterInternalService140.0.7273.0) - (GoogleUpdaterInternalService140.0.7273.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7273.0\updater.exe --system --windows-service --service=update-internal (sign: 'Google LLC')
O23 - Service S2: Сервис Google Updater (GoogleUpdaterService140.0.7273.0) - (GoogleUpdaterService140.0.7273.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7273.0\updater.exe --system --windows-service --service=update (sign: 'Google LLC')
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[akok]

+++

По поводу флешек все по классике.
0. Вычислить проблемный ПК и пролечить, но если это не возможно, то использовать правила компьютерной гигиены
1. Отключить автозапуск со съемных носителей

2. Открывать флешки не стандартным проводником, а альтернативным (FAR, Total Commander и т.д)
3. Извлечь нужную информацию и отформатировать флешку
4. По возможности прекратить пользоваться флешками для файлообмена.... дальше должны быть шутки про бордель и срамные болезни.

 

[RuMax]

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Выполнил

Пофиксите в HJT (некоторые строки могут отсутствовать):

Пофиксил.

Этих строк не было:

O4 - HKCU\..\StartupApproved\Run: [1driv] = C:\Windows\system32\cmd.exe /c start vvv.bongbonger.org (2025/05/11) (sign: 'Microsoft')
O7 - KnownFolder: (folder missing)<br>
O7 - KnownFolder: C:\Users\defaultuser100001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (folder missing)
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults: - [@ivt] protocol is in Unknown Zone, should be Intranet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults: - [file] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults: - [ftp] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults: - [http] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults: - [https] protocol is in Unknown Zone, should be Internet Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults: - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone (User: '')
O15 - HKU\S-1-5-21-3226477667-3922914433-729246643-1003\..\ProtocolDefaults: - [shell] protocol is in Unknown Zone, should be My Computer Zone (User: '')
O22 - BITS Job: (download) {DE2F5C80-B5BF-45FF-B225-341E8677FCEB} - MicrosoftMapsBingGeoStore - (no URL)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Сделано

Вычислить проблемный ПК и пролечить

У нас есть старый ПК, общий, там вообще вин 7 и кажется нет антивируса. Антивирус я поставлю какой нибудь, а чем его проверить и пролечить? Доступа к интернету у того ПК нет. Используем только для открытия фото, видео, документов, показа слайдов и т.д.

Извлечь нужную информацию и отформатировать флешку

Форматирование флешки удаляет с нее всевозможные вирусы? Такого не может быть, что форматирование не помогает?

По возможности прекратить пользоваться флешками для файлообмена....

А чем пользоваться?

 

[akok]

Доступа к интернету у того ПК нет.

Тогда принести логи на флешке, как и утилиты

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {32592FD8-1817-4749-9A57-B2D71C144509} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 fiddrv64; отсутствует ImagePath
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{262BE1F8-0897-4692-9D50-E3F63DAA43E2}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{41B09861-5409-4D44-8CA4-D49FBFAA2E6F}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Program Files\TeamSpeak\notification_helper.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{79F05C14-E714-4C12-9924-93C812894CB0}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.57\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{7EFB4924-4B93-4C43-9832-9C3D05E85214}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.59\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{930e604a-cc01-4d06-8d7a-5a07914f3afb}\localserver32 -> "C:\Program Files\TechSmith\Camtasia 2019\CamtasiaStudio.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{C88B3957-621C-415B-8EE5-B688FC7EF924}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{F1658933-2997-4DDB-869C-061D53A9718E}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{F46A78BD-06FC-442C-88DF-0500F08F2379}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.45\psuser_64.dll => Нет файла
C:\Users\1driv\AppData\Local\Programs\DriverBooster\Мир Кораблей.lnk
C:\Users\1driv\AppData\Local\Programs\DriverBooster\Мир Танков.lnk
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.