Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Файлы на флэшке стали ярлыками.

Александр Алексеев

Автор Александр Алексеев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Александр Алексеев

Александр Алексеев

Опубликовано
Опубликовано

Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.

CollectionLog-2020.11.26-18.11.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft Office\Microsoft Word.WsF','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Word','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Выполнил ваши инструкции.

 

Результат загрузки

Файл сохранён как 201126_162532_quarantine_5fbfd6fc61c56.zip
Размер файла 30547
MD5 b2256cdf7a4d421b718126712116d570

Файл закачан, спасибо!

thyrex

thyrex

Опубликовано
Опубликовано
52 минуты назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ждем

thyrex

thyrex

Опубликовано
Опубликовано

Теперь разбираемся с флешкой. 

 

Скачайте и установите Total Commander. Включите в его настройках показ скрытых и системных файлов и наверняка увидите на флешке скрытую папку, в которую и исчезла Ваша информация.

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Принято. Выполняю.

 

Открыл с помощью Total Commander флешку, файлы вижу, но при открытии пишет что для открытия нужен файл cmd.exe.  Ранее я удалил этот файл 

  • Sandor изменил название на Файлы на флэшке стали ярлыками.
thyrex

thyrex

Опубликовано
Опубликовано
1 час назад, Александр Алексеев сказал:

Ранее я удалил этот файл 

Удали куда? Если в Корзину, восстанавливайте. Если совсем - скопируйте с аналогичной системы.

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Файл cmd.exe. востановил из другой системы.  Файлы стали открываться. В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

thyrex

thyrex

Опубликовано
Опубликовано
5 минут назад, Александр Алексеев сказал:

В свойствах файлов на флешке в строке объект такая запись:

 C:\Users\Александр\Desktop\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start 20870-362442-9083" "Формулы" "для" "расчёта" "параметров.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Word.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls

Так это скорее всего в ярлыках, которые нужно удалить.

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Ярлыки сразу востанавливаются

thyrex

thyrex

Опубликовано
Опубликовано

До сих пор восстанавливаются после удаления?

Александр Алексеев

Александр Алексеев

Опубликовано
  • Автор
Опубликовано

Да. Только что попробовал.

thyrex

thyrex

Опубликовано
Опубликовано

Тогда сделайте скриншот окна Total Commander с теми настройками, которые я просил так, чтобы в одной из панелей было видно содержимое флешки.

Прикрепите скриншот к сообщению.

 

И еще раз логи Autologger сделайте. 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Moroshka
      Переименовалась часть служб и не работал центр обновления
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автономный выход из почтовых аккаунтов и \AppData\Local\temp\????
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Зашифрована куча файлов...
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      [РЕШЕНО] Похоже поймал майнер - самостоятельное исследование не помогло
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • Сава
      Файлы зашифрованы
      Автор Сава
      Добрый день, возникла проблема
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 649BCB4DE5CB3267B4B0|286|2|2 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. (и так же на английском)    Прикрепляю лог проверки.   Заранее благодарю за помощь!   CollectionLog-2015.06.24-19.20.zip
×
×
  • Создать...