на флэшке папки превратились в ярлыки

[glafira37]

Добрый вечер!

Вирус был подцеплен на другом компьютере и принесен на флэшке. На пораженной флэшке папки превратились в ярлыки, если на них кликнуть, то открывается новое окно с содержимым папки и срабатывает защита Касперского. Сообщает, что обнаружены вредоносные ПО (Troian generic), пытающиеся зарегистрироваться для последующего автозапуска. Выполняем откат. Сообщает, что откат успешно произведен.

Все диски компьютера были проверены Касперским с использованием свежей базы вирусов свежие от 01.08.2013, в результате - сообщение - вирусов нет.

Антивирус Касперского (лицензионный) сообщил об удалении троянов, но на самом деле в отчете видны вредоносные файлы с флэшки, против которых программа Касперского ставит ОК и снова защита Касперского срабатывает при клике на ярлык папки на флэшке (ярлыки со странными адресами (например : %comspec% /C START wscript.exe 2d2d2\i3030.js &Start explorer.exe "папка 01").

На компьютере в меню ПУСК пропало «Панель управления», запрещен доступ к изменению свойств папок, настроек рабочего стола, в том числе к отключению сетевого экрана, любая новая флэшка тут же заражается «ярлычной» болезнью.

После лечения при помощи Dr.Web CureIt! на флэшках исчезли ярлыки, видны только автораны, но в свойствах флэшки я вижу загрузку флэшки в несколько мега.

Флэшка после форматирования снова получает авторан с компа со свеженькой – до минуты- датой создания.

Поражено два компа и три флэшки.

Посылаю для первого, для второго нужно будет отдельно послать?

Спасибо за помощь!

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('D:\autorun.inf','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('J:\2d2d2\g3c.js','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\2d\3b323.js','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\2d\3b323.js','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3b323');
DeleteFile('J:\2d2d2\g3c.js','32');
DeleteFile('J:\autorun.inf','32');
DeleteFile('D:\autorun.inf','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. 

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Обновите базы AVZ

 

Сделайте новые логи

 

По второму компьютеру создайте отдельную тему

[glafira37]

Спасибо!

Оба скрипта запустила, запрос на вредоносный вирус отправила.

Базу обновила.

Новые логи Вам сюда отправить?

 

Про второй комп завтра с утра.

До свидания!

virusinfo_syscure.zip

virusinfo_syscheck.zip

[thyrex]

Что с проблемой?

[glafira37]

Автомат ил Лаб. Касперского сгенерировал ответ

....

3b323.js,

autorun.inf

These files are in process.

Best Regards, Kaspersky Lab.

.....

Автораны с флэшек исчезли, но содержимое их не видно.

 

Восстановление системы было проведено неудачно (ручки корячные), поэтому панель управления не появилась. Придется переустанавливать Windows PC?

 

Второй комп уже второй час на проверке Dr.Web. По завершении все пришлю в новой теме.

[thyrex]

В Total Commander с включенной в его настройках опцией показа скрытых и системных файлов пропавшая информация видна?

[glafira37]

У меня нет Total Comander

[thyrex]

Скачайте и установите

[glafira37]

В Total Commander тоже не видно.

Но вот сейчас записала парочку файлов и папок на флэшки - их видно и в Total Commander и в окне Windows.

Отформатировала флэшки - показывает, что занято на одной 8, на другой 4 Кб.

 

Это нормально?

[kmscom]

Скачайте и установите

долго думал, написать или нет. но решился, хотя это и нарушает правила.

родной сайт программы (от разработчика. на нерусском языке) http://www.ghisler.com/ сдесь прямые ссылки на скачивание

сайт поклонников программы (от её фанатов, на русском языке) http://wincmd.ru/

 

PS повинную голову прошу не сечь, данная информация позволит топикстартеру не качать программу где попало, с чем попало

Изменено 6 августа, 2013 пользователем kmscom

[glafira37]

Нашла еще одну покалеченную флэшку, пролечила ее с помощью Dr.Web.

Действительно, в Total Commander с включенной в его настройках опцией показа скрытых и системных файлов видно все содержимое флэшки - и ярлыки и папки.

[thyrex]

Ну вот видите

 

На этом компьютере проблема исчерпана?

[glafira37]

Пожалуй что да, Windows только переустановить придется.

Спасибо Вам за участие!

А второй уже на подходе