Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки - 2

1 2 След.
RSS
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 22.09.2015
Размещено 22.09.2015 18:35:41
Спасибо огромное! на рабочем компьютере помогло. Вставил флэшку на домашнем ноутбуке и снова появились ярлыки :( .  Также сделал образ. Подскажите что дальше сделать?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 22.09.2015 19:46:13
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\МАРИЯ\APPDATA\ROAMING\ISTARTSURF

delref HTTP://WWW.GOOGLE.COM
delall %SystemRoot%\TEMP\8B037F6.SYS

delref HTTP://MAIL.RU/CNT/10445?GP=NEWCUSTOM3
delref HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
delref HTTP://YAPAGES.RU/?FROM=IC1
delref %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\SUPERMEGABEST.OEX
del %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\SUPERMEGABEST.OEX

deldirex %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\CONDUIT\COMMUNITY ALERTS

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delall %SystemDrive%\PROGRAMDATA\DATACARDSERVICE\TEMP\MEGAFON MODEM\SETUP.EXE

del %SystemDrive%\USERS\МАРИЯ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

del %SystemDrive%\USERS\МАРИЯ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

delall %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\TEMP\8700EE0B-590D795A-6287ADA5-F01307DA\775CCD8412.SYS

delall %SystemDrive%\USERS\81E4~1\APPDATA\LOCAL\TEMP\775E015EC1.SYS

regt 27
;-------------------------------------------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\PSMACHINE.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\WINDESKWINSEARCH\WINDESK WINSEARCH.EXE
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\ROAMING\HELPME\UNINSTALLER.EXE
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\ROAMING\ISTARTSURF\UNINSTALLMANAGER.EXE
bl 727E5F49B43FC8AEA8508FF5038D7F3A 317952
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\CHVCVE.EXE
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
del %SystemRoot%\TASKS\IGMG5JFOHA8UMILYCZIBA.JOB
delall %SystemDrive%\USERS\?????\APPDATA\ROAMING\IGMG5JFOHA8UMILYCZIBA.EXE
regt 1
regt 5
regt 12
deltmp
delnfr
restart


-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Изменено: RP55 RP55 - 23.09.2015 07:31:16
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 22.09.2015
Размещено 22.09.2015 20:59:59
картина не радостная :(
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 22.09.2015
Размещено 22.09.2015 21:46:26
вот образ после тотал 360 и со вставленной флешкой
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 23.09.2015 00:16:50
Для ACER_2015-09-22_21-33-34.rar

1) Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
sreg

delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\MENUEX64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\SAFEMON\360TRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\SAFEMON\QHACTIVEDEFENSE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\SAFEMON\SAFEMON.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\SAFEMON\SAFEMON64.DLL
delref %Sys32%\DRIVERS\360ANTIHACKER64.SYS
delref %Sys32%\DRIVERS\360AVFLT.SYS
delref %Sys32%\DRIVERS\360BOX64.SYS
delref %Sys32%\DRIVERS\360CAMERA64.SYS
delref %Sys32%\DRIVERS\360FSFLT.SYS
delref %Sys32%\DRIVERS\BAPIDRV64.SYS
areg



2) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

--------
3) Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

4) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html
Изменено: RP55 RP55 - 23.09.2015 07:31:17
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 22.09.2015
Размещено 23.09.2015 08:06:28
Вобщем, вот все что получилось.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 08:57:50
Алексей, вы определитесь.
360 тотал вам нужен на компьютере или нет.
сейчас это единственный антивирус на компе.
---------
другие логи сейчас гляну
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 09:00:19
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Цитата
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Quick Searcher) - C:\Users\Мария\AppData\Roaming\Opera Software\Opera Stable\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2015-07-02]
EmptyTemp:
Reboot:
[ Как создать образ автозапуска? ]
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 22.09.2015
Размещено 23.09.2015 09:42:39
По поводу антивируса - как посоветуете. Мне главное чтобы зараза с флешек не попадала. Др. Веб не обнаруживал вирус на флешках с ярлыками. Сейчас ярлыки пропали. На компе и др. веб стоит и тотал 360. и на рабочем и на домашнем. Последние указанные действия смогу сделать только вечером, т.к. нахожусь на работе.

Кстати на рабочем компьютере после проверки antimalware получилась такая картина
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 09:53:43
пока выполните последние рекомендации по очистке в frst
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему