Перейти к содержанию
Правила раздела

[РЕШЕНО] Файлы на флэшке стали ярлыками.

Александр Алексеев

Автор Александр Алексеев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Александр Алексеев

Александр Алексеев

Опубликовано
Опубликовано

Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.

CollectionLog-2020.11.26-18.11.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Выполнил ваши инструкции.

 

Результат загрузки

Файл сохранён как 201126_162532_quarantine_5fbfd6fc61c56.zip
Размер файла 30547
MD5 b2256cdf7a4d421b718126712116d570

Файл закачан, спасибо!

thyrex

thyrex

Опубликовано
Опубликовано
52 минуты назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ждем

thyrex

thyrex

Опубликовано
Опубликовано

Теперь разбираемся с флешкой. 

 

Скачайте и установите Total Commander. Включите в его настройках показ скрытых и системных файлов и наверняка увидите на флешке скрытую папку, в которую и исчезла Ваша информация.

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Принято. Выполняю.

 

Открыл с помощью Total Commander флешку, файлы вижу, но при открытии пишет что для открытия нужен файл cmd.exe.  Ранее я удалил этот файл 

  • Sandor изменил название на Файлы на флэшке стали ярлыками.
thyrex

thyrex

Опубликовано
Опубликовано
1 час назад, Александр Алексеев сказал:

Ранее я удалил этот файл 

Удали куда? Если в Корзину, восстанавливайте. Если совсем - скопируйте с аналогичной системы.

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Файл cmd.exe. востановил из другой системы.  Файлы стали открываться. В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

thyrex

thyrex

Опубликовано
Опубликовано
5 минут назад, Александр Алексеев сказал:

В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

Так это скорее всего в ярлыках, которые нужно удалить.

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Ярлыки сразу востанавливаются

thyrex

thyrex

Опубликовано
Опубликовано

До сих пор восстанавливаются после удаления?

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Да. Только что попробовал.

thyrex

thyrex

Опубликовано
Опубликовано

Тогда сделайте скриншот окна Total Commander с теми настройками, которые я просил так, чтобы в одной из панелей было видно содержимое флешки.

Прикрепите скриншот к сообщению.

 

И еще раз логи Autologger сделайте. 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
    • bl1nchik2287
      Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • Николай PO
      Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие)
      Автор Николай PO
      Добрый день! Помогите пожалуйста. Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие).
      Данная проблема на двух ноутбуках:
      1.появились мелкие подлагивания в играх иногда в других программах;
      2.не устанавливается антивирус malwarebytes, при установки других антивирусов и запуске проверки появляется синий экран;
      3.инструмент smartfix не устанавливается полностью;
      4. переустановка операционной системы не помогла;
      5.установка на другой ssd не помогла;
      6. переустановка биос не помогла.
      Прикрепляю результаты сканирования в Farbar Recovery Scan ToolAddition.txtFRST.txt
×
×
  • Создать...