Перейти к содержанию

Замена файлов на ярлык.

Roman Zakharov

От Roman Zakharov
в Компьютерная помощь

 Share

Рекомендуемые сообщения

Roman Zakharov Новичок

Roman Zakharov

Опубликовано
Опубликовано (изменено)

Есть сетевое хранилище файлов. При открытии, был обнаружен один ярлык вместо списка папок. В свойствах ярлыка прописан путь "%windir%\system32\cmd.exe /c start _ & _\DeviceManager.exe & exit". Касперский удаляет ДевайсМенеджер, но при открытии ярлыка он, соответственно, появляется снова.

Посоветуйте решение проблемы.

Изменено пользователем Roman Zakharov
Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

@Roman Zakharov, обратитесь сюда: https://forum.kasperskyclub.ru/index.php?showforum=26


Правила https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Виноват. Это я перенес из лечения и не отметил. Поскольку сказано

Есть сетевое хранилище файлов

я и предположил, что логи будут не информативны.
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано

@Roman Zakharov, В свойствах проводника включите опцию "Показывать скрытые файлы и папки"

Скорее всего все папки на сетевом хранилище сейчас скрытые.

Дальше удалите там папку "start _ & _" вместе со всем содержимым и поменяйте атрибуты файлов и папок.

Ссылка на комментарий
Поделиться на другие сайты
Roman Zakharov Новичок

Roman Zakharov

Опубликовано
  • Автор
Опубликовано

@Roman Zakharov, В свойствах проводника включите опцию "Показывать скрытые файлы и папки"

Скорее всего все папки на сетевом хранилище сейчас скрытые.

 

Показ скрытых файлов и папок был включен. Все папки и файлы, которые были в корневом каталоге, находятся сейчас в этом безымянном ярлыке.

 

@Roman Zakharov, Дальше удалите там папку "start _ & _" вместе со всем содержимым и поменяйте атрибуты файлов и папок.

 

Данная папка отсутствует.

Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

Веб-интерфейс у сетевого хранилища есть? Зайдите через него и посмотрите что там происходит.

Судя по этой теме - http://forum.oszone.net/thread-338090.html там должна быть скрытая папка "_" в корне сетевого диска.

 

В свойствах проводника снимите временно галочку "скрывать защищенные системные файлы"

 

Или попробуйте через "Пуск - Выполнить" перейти в папку "\\имя_сет_хранилища\_"

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
Roman Zakharov Новичок

Roman Zakharov

Опубликовано
  • Автор
Опубликовано

Да, веб-интерфейс есть. Зашли, посмотрели, ничего особенного не происходит. Через него также при создании и переносе папок их смывает в папку с нижним подчеркиванием. Она нашлась, кстати. В ней постоянно создается и потом удаляется Каспером DeviceManager.exe.

Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

Значит скорее всего вирус сидит на одном из компьютеров в вашей сети и оттуда восстанавливается на шаре.

Изменено пользователем andrew75
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@Roman Zakharov, а сетевое хранилище к чему подключено?

 


Касперский удаляет ДевайсМенеджер
А касперский где стоит или как вы им проверяете?

 

 


Данная папка отсутствует.
Папка скорее всего называется _ (то есть просто нижний прочерк), а остальное что вы искали как название это команды cmd.
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

 

 


Папка скорее всего называется _
папку они уже нашли, только вирус там восстанавливается .

 

@Roman Zakharov, прогоняйте каждый компьютер KVRT или CureIt-ом.

Когда удалите источник заражения, можно будет восстановить папки на сетевом хранилище.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

@kmscom, да собственно неважно чем. Судя по всему, вирус достаточно старый, он должен быть во всех базах.

Подозреваю что на зараженном компьютере антивируса либо вообще нет, либо он отключен.

 

@oit, если только отключить все компьютеры от сети, удалить вирус на сетевом хранилище и подключать по одному. 

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Дальше удалите там папку "start _ & _" вместе со всем содержимым

1) Папка получается "_".
2) Если я правильно понимаю

 


Все папки и файлы, которые были в корневом каталоге, находятся сейчас в этом безымянном ярлыке.
Все файлы и папки сейчас как раз находятся внутри этой папки "_", так что прежде чем её удалять надо все оттуда перенести, а иначе восстановить можно будет только спец. утилитами для восстановления удалённых файлов.

3) Прежде чем заниматься переносом этих файлов надо вылечить вирус, а то из-за самодеятельности при активном вирусе могут файлы потеряться окончательно.
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

@regist, вы правильно понимаете, только тему не дочитали. Я потом разобрался с командой и понял, как называется папка. И ТС ее нашел:

 

... папку с нижним подчеркиванием. Она нашлась, кстати. В ней постоянно создается и потом удаляется Каспером DeviceManager.exe.

 

Так что теперь задача стоит в том, чтобы определить откуда восстанавливается вирус и удалить источник.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • gennadij-zaripov
      Ярлыки, иконки приложений.
      От gennadij-zaripov
      После сегодняшнего обновления 11 винды пропали все ярлыки и иконки, остались только названия, также не открывается диспетчер задач свойства диска. Может ещё что-то, это первое, на что обратил внимание после обновления и перезагрузки. Команду sfc /scannow выполнил. Всё в порядке. Кэш иконок скидывал.
       

    • a1zrox
      После KVRT пропал доступ к дискам почти нифига не работает пол ярлыков не рабочие учетка с правами администратора
      От a1zrox
      Пытался и через DiskUnlocker(GUI) пишет на C неверный дескриптор а на E отказано в доступе
      А через проводник запускается все норм
      Скриншот когда пытаюсь открыть ярлык
      а вообще я хотел скачать касперский free не качался чекал сказали чекнуть с помощью KVRT он нашел там нужное мне все а трояны там и все такое удалил а то что нужное пропустил комп перезагружал 2 дня такая проблема на скриншоте пытаюсь открыть ярлык который привязан к приложению с диска E
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...