Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Файлы на флэшке стали ярлыками.

Александр Алексеев

Автор Александр Алексеев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Александр Алексеев Постоялец

Александр Алексеев

Опубликовано
Опубликовано

Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.

CollectionLog-2020.11.26-18.11.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
Александр Алексеев Постоялец

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Выполнил ваши инструкции.

 

Результат загрузки

Файл сохранён как 201126_162532_quarantine_5fbfd6fc61c56.zip
Размер файла 30547
MD5 b2256cdf7a4d421b718126712116d570

Файл закачан, спасибо!

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
52 минуты назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ждем

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Теперь разбираемся с флешкой. 

 

Скачайте и установите Total Commander. Включите в его настройках показ скрытых и системных файлов и наверняка увидите на флешке скрытую папку, в которую и исчезла Ваша информация.

Ссылка на комментарий
Поделиться на другие сайты
Александр Алексеев Постоялец

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Принято. Выполняю.

 

Открыл с помощью Total Commander флешку, файлы вижу, но при открытии пишет что для открытия нужен файл cmd.exe.  Ранее я удалил этот файл 

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на Файлы на флэшке стали ярлыками.
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
1 час назад, Александр Алексеев сказал:

Ранее я удалил этот файл 

Удали куда? Если в Корзину, восстанавливайте. Если совсем - скопируйте с аналогичной системы.

Ссылка на комментарий
Поделиться на другие сайты
Александр Алексеев Постоялец

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Файл cmd.exe. востановил из другой системы.  Файлы стали открываться. В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
5 минут назад, Александр Алексеев сказал:

В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

Так это скорее всего в ярлыках, которые нужно удалить.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Тогда сделайте скриншот окна Total Commander с теми настройками, которые я просил так, чтобы в одной из панелей было видно содержимое флешки.

Прикрепите скриншот к сообщению.

 

И еще раз логи Autologger сделайте. 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Митьян070
      Как удалить два белых ярлыка на нижней панели без использования мыши?
      Автор Митьян070
      Всем доброе утро!
      Прошу прощения за глупый вопрос, у меня Windows 11 и так вышло, что я установил Adobe Photoshop, но вместе с ним ещё установились World of Tanks и World of Warships. Мышки у меня нет у ноутбука и ещё я инвалид I-группы после серьёзного ДТП 07.07.2017 года. Я все эти программы удалил, потому что Adobe Photoshop не работал, но на нижней панели остались два белых ярлыка. Как от них избавиться? Всем большое спасибо заранее и желаю отличного дня.
    • Kaross
      Процессор в последнее время стал загружаться в 100% даже на простом открытии браузера
      Автор Kaross
      Процессор в последнее время стал загружаться в 100% даже на простом открытии браузера, вентиляторы все время шумят и работают на 100% ,чистил ноутбук ,менял термопасту ничего не помогло ,подскажите что может быть,может вирус?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • timmonn
      Зашифрованы все файлы.
      Автор timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Red13107
      проблема с расшифровкой файлов
      Автор Red13107
      Здраствуйте, не получается расшифровать 23 файла с помощью shadedecryptor. пишет ошибка и не может подобрать ключ.
      Addition.txt FRST.txt README1.txt Новая папка.rar
×
×
  • Создать...