Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Замена файлов на ярлык.

Roman Zakharov

Автор Roman Zakharov
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

Roman Zakharov Новичок

Roman Zakharov

Опубликовано
Опубликовано (изменено)

Есть сетевое хранилище файлов. При открытии, был обнаружен один ярлык вместо списка папок. В свойствах ярлыка прописан путь "%windir%\system32\cmd.exe /c start _ & _\DeviceManager.exe & exit". Касперский удаляет ДевайсМенеджер, но при открытии ярлыка он, соответственно, появляется снова.

Посоветуйте решение проблемы.

Изменено пользователем Roman Zakharov
Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

@Roman Zakharov, обратитесь сюда: https://forum.kasperskyclub.ru/index.php?showforum=26


Правила https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Виноват. Это я перенес из лечения и не отметил. Поскольку сказано

Есть сетевое хранилище файлов

я и предположил, что логи будут не информативны.
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано

@Roman Zakharov, В свойствах проводника включите опцию "Показывать скрытые файлы и папки"

Скорее всего все папки на сетевом хранилище сейчас скрытые.

Дальше удалите там папку "start _ & _" вместе со всем содержимым и поменяйте атрибуты файлов и папок.

Ссылка на комментарий
Поделиться на другие сайты
Roman Zakharov Новичок

Roman Zakharov

Опубликовано
  • Автор
Опубликовано

@Roman Zakharov, В свойствах проводника включите опцию "Показывать скрытые файлы и папки"

Скорее всего все папки на сетевом хранилище сейчас скрытые.

 

Показ скрытых файлов и папок был включен. Все папки и файлы, которые были в корневом каталоге, находятся сейчас в этом безымянном ярлыке.

 

@Roman Zakharov, Дальше удалите там папку "start _ & _" вместе со всем содержимым и поменяйте атрибуты файлов и папок.

 

Данная папка отсутствует.

Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

Веб-интерфейс у сетевого хранилища есть? Зайдите через него и посмотрите что там происходит.

Судя по этой теме - http://forum.oszone.net/thread-338090.html там должна быть скрытая папка "_" в корне сетевого диска.

 

В свойствах проводника снимите временно галочку "скрывать защищенные системные файлы"

 

Или попробуйте через "Пуск - Выполнить" перейти в папку "\\имя_сет_хранилища\_"

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
Roman Zakharov Новичок

Roman Zakharov

Опубликовано
  • Автор
Опубликовано

Да, веб-интерфейс есть. Зашли, посмотрели, ничего особенного не происходит. Через него также при создании и переносе папок их смывает в папку с нижним подчеркиванием. Она нашлась, кстати. В ней постоянно создается и потом удаляется Каспером DeviceManager.exe.

Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

Значит скорее всего вирус сидит на одном из компьютеров в вашей сети и оттуда восстанавливается на шаре.

Изменено пользователем andrew75
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@Roman Zakharov, а сетевое хранилище к чему подключено?

 


Касперский удаляет ДевайсМенеджер
А касперский где стоит или как вы им проверяете?

 

 


Данная папка отсутствует.
Папка скорее всего называется _ (то есть просто нижний прочерк), а остальное что вы искали как название это команды cmd.
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

 

 


Папка скорее всего называется _
папку они уже нашли, только вирус там восстанавливается .

 

@Roman Zakharov, прогоняйте каждый компьютер KVRT или CureIt-ом.

Когда удалите источник заражения, можно будет восстановить папки на сетевом хранилище.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

@kmscom, да собственно неважно чем. Судя по всему, вирус достаточно старый, он должен быть во всех базах.

Подозреваю что на зараженном компьютере антивируса либо вообще нет, либо он отключен.

 

@oit, если только отключить все компьютеры от сети, удалить вирус на сетевом хранилище и подключать по одному. 

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Дальше удалите там папку "start _ & _" вместе со всем содержимым

1) Папка получается "_".
2) Если я правильно понимаю

 


Все папки и файлы, которые были в корневом каталоге, находятся сейчас в этом безымянном ярлыке.
Все файлы и папки сейчас как раз находятся внутри этой папки "_", так что прежде чем её удалять надо все оттуда перенести, а иначе восстановить можно будет только спец. утилитами для восстановления удалённых файлов.

3) Прежде чем заниматься переносом этих файлов надо вылечить вирус, а то из-за самодеятельности при активном вирусе могут файлы потеряться окончательно.
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

@regist, вы правильно понимаете, только тему не дочитали. Я потом разобрался с командой и понял, как называется папка. И ТС ее нашел:

 

... папку с нижним подчеркиванием. Она нашлась, кстати. В ней постоянно создается и потом удаляется Каспером DeviceManager.exe.

 

Так что теперь задача стоит в том, чтобы определить откуда восстанавливается вирус и удалить источник.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анди25
      Замена сертификата на сервере ksc
      Автор Анди25
      День добрый,
       
      Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
      Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
       
      Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
      "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
    • Митьян070
      Как удалить два белых ярлыка на нижней панели без использования мыши?
      Автор Митьян070
      Всем доброе утро!
      Прошу прощения за глупый вопрос, у меня Windows 11 и так вышло, что я установил Adobe Photoshop, но вместе с ним ещё установились World of Tanks и World of Warships. Мышки у меня нет у ноутбука и ещё я инвалид I-группы после серьёзного ДТП 07.07.2017 года. Я все эти программы удалил, потому что Adobe Photoshop не работал, но на нижней панели остались два белых ярлыка. Как от них избавиться? Всем большое спасибо заранее и желаю отличного дня.
    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • вася1525
      вирус жрёт файлы. ×
      Автор вася1525
      virusinfo_syscheck.zip
×
×
  • Создать...