[РЕШЕНО] Файлы на флэшке стали ярлыками.

[Александр Алексеев]

Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.

CollectionLog-2020.11.26-18.11.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Александр Алексеев]

Выполнил ваши инструкции.

 

Результат загрузки

Файл сохранён как	201126_162532_quarantine_5fbfd6fc61c56.zip
Размер файла	30547
MD5	b2256cdf7a4d421b718126712116d570

Файл закачан, спасибо!

[thyrex]

52 минуты назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ждем

[Александр Алексеев]

Прикрепил лог. Была техническая заминка. Извените.

CollectionLog-2020.11.26-19.56.zip

[thyrex]

Теперь разбираемся с флешкой. 

 

Скачайте и установите Total Commander. Включите в его настройках показ скрытых и системных файлов и наверняка увидите на флешке скрытую папку, в которую и исчезла Ваша информация.

[Александр Алексеев]

Принято. Выполняю.

 

Открыл с помощью Total Commander флешку, файлы вижу, но при открытии пишет что для открытия нужен файл cmd.exe.  Ранее я удалил этот файл 

[thyrex]

1 час назад, Александр Алексеев сказал:

Ранее я удалил этот файл 

Удали куда? Если в Корзину, восстанавливайте. Если совсем - скопируйте с аналогичной системы.

[Александр Алексеев]

Файл cmd.exe. востановил из другой системы.  Файлы стали открываться. В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

[thyrex]

5 минут назад, Александр Алексеев сказал:

В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

Так это скорее всего в ярлыках, которые нужно удалить.

[Александр Алексеев]

Ярлыки сразу востанавливаются

[thyrex]

До сих пор восстанавливаются после удаления?

[Александр Алексеев]

Да. Только что попробовал.

[thyrex]

Тогда сделайте скриншот окна Total Commander с теми настройками, которые я просил так, чтобы в одной из панелей было видно содержимое флешки.

Прикрепите скриншот к сообщению.

 

И еще раз логи Autologger сделайте. 

[Александр Алексеев]