Решена Ярлыки на флешке.

Статус
В этой теме нельзя размещать новые ответы.

diagnoz

Новый пользователь
Сообщения
44
Реакции
4
Добрый вечер. Знакомый подхватил вирус изменяющий и скрывающий файлы на флешке и меняя их на ярлыки. Спасибо.
 

Вложения

  • CollectionLog-2018.03.14-15.01.zip
    48.6 KB · Просмотры: 3
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\Users\Volodya\LOCALS~1\Temp\msezaq.exe','');
 DeleteFile('C:\Users\Volodya\LOCALS~1\Temp\msezaq.exe','32');
 DeleteFile('F:\autorun.inf','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
F3 - HKCU\..\Windows: [load] = C:\Users\Volodya\LOCALS~1\Temp\msezaq.exe

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Знакомый подхватил вирус изменяющий и скрывающий файлы на флешке и меняя их на ярлыки
Воспользуйтесь этой утилитой https://safezone.cc/resources/antih...vij-dejstvija-virusa-na-semnom-nakopitele.65/
 
Выполнил. утилиту установил. Кстати, появился глюк, usb-накопители перестали совсем отображаться в проводнике. В оснастке Управление дисками он виден. Это появилось еще перед выполнения скриптов. Порты исправны, флешки видны в БИОС и с них успешно загружаются.
 

Вложения

  • CollectionLog-2018.03.14-10.16.zip
    35.6 KB · Просмотры: 4
В оснастке Управление дисками он виден.
Съемному диску присвоена "буква диска"?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Нет, буква не присваивается, только полный объем флешки. Из действий есть только удалить\изменить букву...\свойства. Но при попытке изменить букву ошибка типа "произошла ошибка при выполнении операции, так как информация в оснастке диспетчера дисков устаела".
 
Понял, в файловых менеджерах диски не видны?
 
Вот и приходится закидывать утилиту на загрузочную флешку, затем с нее грузиться и сбрасывать на локальный диск, ну и затем запускать.
 
@diagnoz, давайте уже долечим, а потом и флешки пофиксим. И наверное отключим автозапуск с съемных носителей, чтоб избежать перезаражения.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 
Нет в Far, например, также не видны.

Прилагаю логи FRST.

Все остальное выполнил.
 

Вложения

  • Addition.txt
    27.1 KB · Просмотры: 2
  • FRST.txt
    15.7 KB · Просмотры: 3
  • Shortcut.txt
    85.8 KB · Просмотры: 0
Последнее редактирование модератором:
Антивирус кстати совсем не стоял. Сейчас установлю.
 
Разобрался с флешками, ту флешку которую я подключал, ранее была зашифрованным файловым контейнером. Теперь все в порядке, проводник видит их. :)
 
Групповые политики сами (или администратор) настраивал?
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1395735229-1054448213-924595394-1001\User: Restriction <==== ATTENTION

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {24648684-a2e9-11e3-a909-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {3f465681-ed11-11e3-8bcf-001c2538db7c} - G:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {69ab7f1c-1aa9-11e3-89ba-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {6fe40e46-1b8f-11e3-9ca1-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {716d0940-e920-11e2-a6a6-001c2538db7c} - F:\LaunchU3.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {9d79e052-1f1e-11e3-9e3f-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {a6a2d25e-193a-11e3-bd14-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {a6a2d26e-193a-11e3-bd14-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {a6a2d279-193a-11e3-bd14-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {c1651f23-b97e-11e3-a4d6-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {c1651fc4-b97e-11e3-a4d6-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {d74a2d49-1b8c-11e3-babf-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {e30976ba-1bc7-11e3-8c5e-001c2538db7c} - F:\Launcher.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {ead51ef6-b1bc-11e3-8bfb-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {ead51f0d-b1bc-11e3-8bfb-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {ead51f28-b1bc-11e3-8bfb-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {eca7e2f2-1c8a-11e3-bbc4-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {eca7e300-1c8a-11e3-bbc4-001c2538db7c} - F:\AutoRun.exe
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\MountPoints2: {eca7e324-1c8a-11e3-bbc4-001c2538db7c} - H:\Launcher.exe
    S1 dukcheqe; \??\C:\Windows\system32\drivers\dukcheqe.sys [X]
    U3 afttmqta; C:\Windows\system32\Drivers\afttmqta.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [149]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 
Нет, ничего не настраивалось, компьютер не в домене. Хотя эти записи в логах тоже видел и был удивлен.
 
++
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1395735229-1054448213-924595394-1001\User: Restriction <==== ATTENTION
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1395735229-1054448213-924595394-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
+ также:
- скачайте архив GetHJT_dump.zip, распакуйте его.
- в эту же папку скопируйте программу HiJackThis (она находится в папке автологгера ...\AutoLogger\HiJackThis\)
- запустите правой кнопкой мыши "От имени администратора" файл GetDump.bat
- получившийся файл Dumps.zip загрузите на файлообменник, например, File.Karelia и предоставьте ссылку.
 
Сделал. Ссылка Быстрый обмен файлами

И еще
 

Вложения

  • Fixlog.txt
    8.9 KB · Просмотры: 1
  • Fixlog2.txt
    1.9 KB · Просмотры: 1
  • TDSSKiller.3.1.0.16_01.01.2006_00.09.39_log.txt
    190.6 KB · Просмотры: 2
Последнее редактирование модератором:
Что с проблемами?
 
akok, Dragokas, спасибо Вам за помощь и приобретение мною навыков в чтении и исследовании логов. Вы как всегда молодцы. Теперь все в порядке. Проблем нет.
 
Тогда финальные рекомендации
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Сделано. База безопасных файлов также пополнена, архив выслал.
 

Вложения

  • SecurityCheck.txt
    8.4 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу