Перейти к содержанию
Правила раздела

(на флэшке папки превратились в ярлыки) 2

glafira37

От glafira37
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\02 - что в этой скрытой папке?

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\037d\156.js','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\037d\156.js','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','156');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\037d', '*', true);
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\037d');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

Сделайте новые логи

 

C:\02 - что в этой скрытой папке?

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\037d\156.js','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\037d\156.js','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','156');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\037d', '*', true);
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\037d');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
glafira37 Новичок

glafira37

Опубликовано
  • Автор
Опубликовано

После выполнения скриптов отметила птичками в HiJack две позиции.

Сделала новые логи

 

C:\02 - в этой скрытой папке непотятные нам файлы

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
glafira37 Новичок

glafira37

Опубликовано
  • Автор
Опубликовано

Папку C:\02 удалила. Флэшки вылечились и больше не заражаются.

 

Но не получилось после удаления вредоносного ПО удалить предыдущие контрольные точки восстановления ОС и создайть новые - выдает, что "восстановление системы отключено.включить?" и сразу "операция отменена в связи с действующими органичениями сети. обратитесь к администратору".

Панель управления также недоступна.

Переустановка Windows?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Запустите редактор реестра

Зайжите в ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

и измените значение параметра

"NoControlPanel"=1
на 0

 

Панель управления появилась?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • gennadij-zaripov
      Ярлыки, иконки приложений.
      От gennadij-zaripov
      После сегодняшнего обновления 11 винды пропали все ярлыки и иконки, остались только названия, также не открывается диспетчер задач свойства диска. Может ещё что-то, это первое, на что обратил внимание после обновления и перезагрузки. Команду sfc /scannow выполнил. Всё в порядке. Кэш иконок скидывал.
       

    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • Антон_63ru
      Зашифрованы файлы в сетевых папках файлообменника (pussylikeashavel@cyberfear.com)
      От Антон_63ru
      Зашифрованы файлы в сетевых файлах на  файлообменнике,  на нем два сетевых интерфейса смотрят в разные локальные сетки..
      в той сетке куда имею доступ "нулевого пациента" нет . Коллеги уверяют, что у них тоже все ок..(
      на самом файлообменнике в нерасшаренных папках файлы WORD и EXCEL не зашифрованы
      Addition.txt crypted_file.7z FRST.txt
    • tianddu
      удаление папки с KES без прав
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • KrivosheevYS
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)
      От KrivosheevYS
      Здравствуйте!
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
      Файл с логами прилагается.
      Neshta.rar
×
×
  • Создать...