Вирус преобразует папки в ярлыки

[Voolgoaf]

возникла давольно неприятная проблема, все папки на внешних носителях становятся их ярлыками прошу помощи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 23 сентября, 2011 пользователем Voolgoaf

[Tiare]

Voolgoaf, здравствуйте.

 

 

Пофиксите в HijackThis следующие строчки.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

C:\WINDOWS\System32\Drivers\Sfloppy.SYS

 

 

 

Подключите проблемный внешний носитель и, ничего не открывая на нем, сделайте новые логи по правилам раздела.

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

Все логи делать с подключенным проблемным внешним носителем!

[Voolgoaf]

ссылка на проверенный файл

 

http://www.virustotal.com/file-scan/report...959f-1316785573

mbam_log_2011_09_27__00_52_07_.txt

info.txt

log.txt

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\0.9104550746746863.exe','MBAM:Exploit.Drop.2');
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\0.16385739686662215.exe','MBAM:Exploit.Drop.2');
QuarantineFile('C:\WINDOWS\system32\4E97.tmp','');
QuarantineFile('C:\WINDOWS\system32\4E99.tmp','');
QuarantineFile('C:\WINDOWS\system32\flkxmwm.dll','');
QuarantineFile('c:\program files\macromedia\Rus.exe','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\WINDOWS\notepad.exe','MBAM:Trojan.Agent');
QuarantineFile('f:\dragon age\Keygen.exe','MBAM:Trojan.Downloader');
DeleteFile('c:\documents and settings\Admin\local settings\Temp\0.9104550746746863.exe');
DeleteFile('c:\documents and settings\Admin\local settings\Temp\0.16385739686662215.exe');
DeleteFile('C:\WINDOWS\system32\4E97.tmp');
DeleteFile('C:\WINDOWS\system32\4E99.tmp');
DeleteFile('C:\WINDOWS\system32\flkxmwm.dll');
DelAutorunByFileName('C:\WINDOWS\system32\flkxmwm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Удалите в MBAM ТОЛЬКО следующие объекты (если будут):

c:\documents and settings\Admin\local settings\Temp\0.16385739686662215.exe (Exploit.Drop.2) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9104550746746863.exe (Exploit.Drop.2) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Проверьте на virustotal.com:

c:\program files\macromedia\Rus.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\notepad.exe (Trojan.Agent) -> No action taken.
f:\dragon age\Keygen.exe (Trojan.Downloader) -> No action taken.

3 ссыдки на результат проверки приложите.

[Xenon]

Похожая ситуация была летом на рабочем компе. Спасибо Roman_Five, всё там вылечил...

 

С тех пор на флешке держу батник, который восстанавливает скрытые файлы: запустил, становятся видимыми скрытые вирусом файлы, удаляешь "левые" ярлыки и папку (обычно Recycler) и радуешься что все чисто на флехе и инфа не пропала

 

Вот ссылка на батник если кому пригодится:

http://narod.ru/disk/26519518001/___%D0%92...5B1%5D.rar.html

 

Изменено 27 сентября, 2011 пользователем Xenon

[Tiare]

Вот ссылка на батник если кому пригодится:

http://narod.ru/disk/26488224001/!!...%D0%AB.bat.html

ссылка не рабочая

 

 

Вы про это говорите?

Сохраните текст attrib -S -H /D /S в файле 1.bat на вашу флешку в корень диска и запустите его.

 

Только сначала нужно очистить систему от зловредов, а потом файлы на внешних носителях сделать видимыми.

Изменено 27 сентября, 2011 пользователем Tiare

[Xenon]

ссылка не рабочая

Странно, 2 раза перезалил и не работает

Перезалил, все работает - архивчик схавал

Вы про это говорите?

Сохраните текст attrib -S -H /D /S в файле 1.bat на вашу флешку в корень диска и запустите его.

Именно так

Только сначала нужно очистить систему от зловредов, а потом файлы на внешних носителях сделать видимыми.

Я отключал автозапуск и потом батник - все прокатывало!

ЕСТЕСТВЕННО это только для флешки! Комп все-равно лечить нужно!

 

Автозапуск отключал с помощью регфайла, содержащего:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""

 

 

...подробнее в приложенном Word-документе

Отключение_Включение_Автозапуска.doc

Изменено 27 сентября, 2011 пользователем Xenon

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Часть сообщений выделено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=31496

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Часть сообщений выделено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=31568