Вирус создает на флешках ярлык %COMSPEC% /C .\WindowsServices\movemenoreg.vbs

@korjik · Регистрация: 28.02.2021

Студворк — интернет-сервис помощи студентам

Добрый день.
Появился вирус на нескольких флешках. Создает ярлык диска. Нашел скрытую папку на компьютере WindowsServices c файлами: helper.vbs, installer.vbs, movemenoreg.vbs. Удалил, но не решило это проблему. Флешки также форматировал полностью - не помогло.
Помогите пожалуйста с удалением вируса. Лог прилагаю.

@Sandor · 28.02.2021, 14:33

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя korjik. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Code
```
begin
 ExecuteRepair(9);
 ExecuteRepair(22);
RebootWindows(false);
end.
```
Компьютер перезагрузится.
Отключите простой общий доступ ко всем локальным дискам.
Подготовьте новый CollectionLog.

@korjik · 28.02.2021, 15:30 **[ТС]**

Выполнил. Лог прилагаю.

@Sandor · 28.02.2021, 20:27

Пофиксите в HijackThis следующие строчки:

Code
O4 - Startup: C:\Users\win7z\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk    ->    C:\Users\win7z\AppData\Roaming\WindowsServices\helper.vbs

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@korjik · 28.02.2021, 20:37 **[ТС]**

Выполнено.

@korjik · 28.02.2021, 20:53 **[ТС]**

Уважаемый Sandor, с флешками как быть? С одной флешки надо выгрузить информацию. Остальные могу смело отформатировать.

@Sandor · 28.02.2021, 21:30

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{98F9899A-1507-494E-8D08-7DA36A6086CA}] => (Allow) LPort=80
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Сообщение от korjik

с флешками как быть?

Если включить отображение скрытых файлов, "потерянные" папки видны?
Если да, скопируйте нужное и отформатируйте.

@korjik · 28.02.2021, 22:29 **[ТС]**

Sandor, всё выполнил.

@Sandor · 01.03.2021, 09:30

Проблема решена?

@korjik · 01.03.2021, 09:41 **[ТС]**

Да, спасибо вам большое!

@Sandor · 01.03.2021, 09:46

Хорошо, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@korjik · 01.03.2021, 09:56 **[ТС]**

Готово

@Sandor · 01.03.2021, 10:06

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1246.17134.0 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB4598245 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.9.4.102 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.19) - Russian v.11.0.19 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Читайте Рекомендации после удаления вредоносного ПО

@korjik · 01.03.2021, 10:11 **[ТС]**

Sandor, ещё раз премного благодарен! Как-то могу отблагодарить?

Новые блоги и статьи Все статьи Все блоги /
Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.

Вирус создает на флешках ярлык %COMSPEC% /C .\WindowsServices\movemenoreg.vbs

Решение

Решение

Решение

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,747
	28.02.2021, 14:33
	Сообщение было отмечено korjik как решение Решение Здравствуйте! Внимание! Рекомендации написаны специально для пользователя korjik. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin ExecuteRepair(9); ExecuteRepair(22); RebootWindows(false); end. Компьютер перезагрузится. Отключите простой общий доступ ко всем локальным дискам. Подготовьте новый CollectionLog. 1

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,747
	28.02.2021, 20:27
	Сообщение было отмечено korjik как решение Решение Пофиксите в HijackThis следующие строчки: Code O4 - Startup: C:\Users\win7z\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk -> C:\Users\win7z\AppData\Roaming\WindowsServices\helper.vbs Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@korjik 0 / 0 / 0 Регистрация: 28.02.2021 Сообщений: 8
	28.02.2021, 20:53 [ТС]
	Уважаемый Sandor, с флешками как быть? С одной флешки надо выгрузить информацию. Остальные могу смело отформатировать. 0

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,747
	01.03.2021, 09:30
	Проблема решена? 0

@korjik 0 / 0 / 0 Регистрация: 28.02.2021 Сообщений: 8
	01.03.2021, 09:41 [ТС]
	Да, спасибо вам большое! 0

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,747
	01.03.2021, 09:46
	Хорошо, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,747
	01.03.2021, 10:06
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.1246.17134.0 Внимание! Скачать обновления Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB4598245 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления -------------------------------- [ Media ] -------------------------------- iTunes v.12.9.4.102 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.19) - Russian v.11.0.19 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. Читайте Рекомендации после удаления вредоносного ПО 0

@korjik 0 / 0 / 0 Регистрация: 28.02.2021 Сообщений: 8
	01.03.2021, 10:11 [ТС]
	Sandor, ещё раз премного благодарен! Как-то могу отблагодарить? 0