Вирус создает ярлыки вместо папок на флешке

@Nise88 · Регистрация: 27.05.2011

Author24 — интернет-сервис помощи студентам

Здравствуйте, столкнулся с такой проблемой: когда подключаю флешку к компьютеру все папки на флешке становятся скрытыми, появляются ярлыки этих папок. Еще появляется одна новая папка RECYCLER с каким-то файлом внутри. Пробовал проверять на вирусы и папку и комп, ничего не находит. Пробовал форматировать флешку, то же самое кидаю на флешку папку, а при следующем использовании опять ярлыки. Нашел похожую тему там советовали:
Сохранить текст attrib -S -H /D /S в файле 1.bat на Ваш флеш накопитель в корень диск
Сделал так, папки появились, но в следующий раз та же фигня!!!
Подскажите Что делать чтоб не было этих ярлыков, и с чем проблема с флешкой или компьютером.
Заранее спасибо

@zirreX · 28.05.2011, 22:34

В обязательном порядке:
Установите Service Pack 3 (потребуется активация).

Обновите Internet Explorer до восьмой версии даже если им не пользуетесь.

Вставьте зараженную флешку, но не открывайте её в проводнике!

Отключите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('D:\WINDOWS\aadrive32.exe','');
 QuarantineFile('D:\Documents and Settings\Сергей\Application Data\Rrnqnh.exe','');
 QuarantineFile('D:\Documents and Settings\Сергей\Application Data\8FD3.tmp','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('D:\WINDOWS\system32\drivers\bopnwaaxc.sys','');
 QuarantineFile('D:\WINDOWS\system32\drivers\synsenddrv.sys','');
 DeleteFile('D:\WINDOWS\system32\drivers\bopnwaaxc.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('D:\Documents and Settings\Сергей\Application Data\Rrnqnh.exe');
 DeleteFile('D:\WINDOWS\aadrive32.exe');
 DeleteFile('D:\WINDOWS\system32\drivers\synsenddrv.sys');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rrnqnh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','D:\Documents and Settings\Сергей\Application Data\E.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','D:\Documents and Settings\Сергей\Application Data\8FD3.tmp');
DeleteFileMask('D:\Documents and Settings\Сергей\Application Data\','*.tmp', false);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('wqludalyqsmfwy');
 BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ на адрес quarantine<at>safezone.cc с указанием ссылки на вашу тему в заголовке письма. (<at>=@)

• Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

Подготовьте новые логи AVZ,RSIT и MBAM при вставленной флешке!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

@Nise88 · 29.05.2011, 17:54 **[ТС]**

Все нормально вроде, спасибо за помощь!

@zirreX · 29.05.2011, 18:37

Проверьте файл на www.virustotal.com и дайте ссылку на результат.

Код

d:\мои развлечения\Мания\KINO2.EXE

Удалите в MBAM:

Код

Заражённые папки:
d:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражённые файлы:
g:\RECYCLER\e5188982.exe (Trojan.Agent) -> No action taken.
d:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.

Отключите защитное ПО (Антивирус/Файерволл)

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('D:\WINDOWS\system32\rundllwin32.exe','');
 QuarantineFile('niog.sys','');
 DeleteFile('niog.sys');
 DeleteFile('D:\WINDOWS\system32\rundllwin32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundllwin32');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('niog.sys');
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ на адрес quarantine<at>safezone.cc с указанием ссылки на вашу тему в заголовке письма. (<at>=@)

Сделайте новые логи AVZ и новый лог сканирования MBAM.

Установите Service Pack 3 (потребуется активация).

Обновите Internet Explorer до восьмой версии даже если им не пользуетесь.

Обновите Adobe Reader до последней версии.

@Nise88 · 29.05.2011, 20:37 **[ТС]**

Сделал, только Internet Explorer и Service Pack 3 обновить не получилось

@~~Katharsis~~ · 29.05.2011, 20:41

Сообщение от Nise88

Internet Explorer и Service Pack 3 обновить не получилось

По какой причине?

@arbitr · 29.05.2011, 22:09

выполнить такой скрипт в авз

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\naxgotk.dll');
 DelBHO('{0FB6A909-6086-458F-BD92-1F8EE10042A0}');
 QuarantineFile('D:\Program Files\AutocompletePro\AutocompletePro.dll','');
 QuarantineFile('D:\Program Files\VPets\VPets.exe','');
 DeleteFile('D:\Program Files\VPets\VPets.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
 DeleteFile('D:\Program Files\AutocompletePro\AutocompletePro.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('D:\WINDOWS\system32\naxgotk.dll');
BC_Activate;
RebootWindows(true);
end.

сделать лог GMER и RSIT
да и еще, пока лечитесь в контакте не гуляйте!

@Nise88 · 30.05.2011, 11:05 **[ТС]**

Выполнил скрипт в авз, вот логи.
А Internet Explorer не устанавливается пишет не было установлено необходимого обновления, скачиваю вручную обновление они тоже не устанавливаются.

@Nise88 · 30.05.2011, 11:07 **[ТС]**

Вот GMER

@Sfera · 30.05.2011, 11:28

Nise88, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 34z29jmf.exe случайное имя утилиты (gmer)

Код

34z29jmf.exe -del service awepe
34z29jmf.exe -del file "D:\WINDOWS\system32\naxgotk.dll"
34z29jmf.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\awepe"
34z29jmf.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\awepe"
34z29jmf.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

@Nise88 · 30.05.2011, 11:53 **[ТС]**

Сделал

@Sfera · 30.05.2011, 12:08

чисто, что с обновлениями?

@arbitr · 30.05.2011, 12:09

ок теперь пробуйте установить експлорер 8 а потом повторите логи АВЗ РСИТ МБАМ не получится установить снова то пока только логи.

@Nise88 · 30.05.2011, 12:22 **[ТС]**

Опять не вышло, скажите а это только для обновлений нужно? Я google chrome пользуюсь и мне Explorer не очень нужен, а в целом с компьютером все нормально?

@Sfera · 30.05.2011, 12:58

Сообщение от Nise88

Опять не вышло, скажите а это только для обновлений нужно? Я google chrome пользуюсь и мне Explorer не очень нужен, а в целом с компьютером все нормально?

это нужно для вашей безопасности

логи повторите АВЗ РСИТ МБАМ

@Nise88 · 30.05.2011, 14:54 **[ТС]**

Вот логи

@Sfera · 30.05.2011, 15:25

скачайте и установите патчи
MS08-067
MS08-068
MS09-001

смените пароли в том числе и на администратора (qwert или 1234 не есть сложный пароль)

Для деинсталяции Gmer используйте следующие рекомендации:
Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

Обновления все так же не устанавливаются?
Есть программа WSUS Offline, которая скачает все обновления в указанную папку и создаст файл который необходимо запустить, чтобы установить скаченные обновления.

@arbitr · 30.05.2011, 16:50

проверить пуск панель управления система обновление, чтоб было включено.
возможно скачать експлорер 8 для вашей операционной системы еще раз,
если выдаст ошибку сказать какая, лучше приложить скрин.

@Nise88 · 30.05.2011, 17:06 **[ТС]**

Эксплорер 8 установил, а обновления не мог установить потому что язык не тот скачал. Спасибо за советы

@arbitr · 30.05.2011, 17:17

тогда у вас постепенно обновления сами скачаются.. или сами .. без разницы..
на этом в принципе все. лечение провели рекомендации дали, тему можете отмечать решенной. если будут вопросы по теме спрашивайте, за сим удачи.

@Nise88 1 / 1 / 0 Регистрация: 27.05.2011 Сообщений: 27
	30.05.2011, 17:06 [ТС]	19
	Эксплорер 8 установил, а обновления не мог установить потому что язык не тот скачал. Спасибо за советы 0

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	29.05.2011, 18:37	4
	Проверьте файл на www.virustotal.com и дайте ссылку на результат. Код d:\мои развлечения\Мания\KINO2.EXE Удалите в MBAM: Код Заражённые папки: d:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражённые файлы: g:\RECYCLER\e5188982.exe (Trojan.Agent) -> No action taken. d:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. Отключите защитное ПО (Антивирус/Файерволл) • Выполните скрипт AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\WINDOWS\system32\rundllwin32.exe',''); QuarantineFile('niog.sys',''); DeleteFile('niog.sys'); DeleteFile('D:\WINDOWS\system32\rundllwin32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundllwin32'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('niog.sys'); BC_Activate; ExecuteRepair(8); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! • После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ на адрес quarantine<at>safezone.cc с указанием ссылки на вашу тему в заголовке письма. (<at>=@) Сделайте новые логи AVZ и новый лог сканирования MBAM. Установите Service Pack 3 (потребуется активация). Обновите Internet Explorer до восьмой версии даже если им не пользуетесь. Обновите Adobe Reader до последней версии. 1

@~~Katharsis~~ Заблокирован
	29.05.2011, 20:41	6
	Сообщение от Nise88 Internet Explorer и Service Pack 3 обновить не получилось По какой причине? 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	30.05.2011, 11:28	10
	Nise88, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 34z29jmf.exe случайное имя утилиты (gmer) Код 34z29jmf.exe -del service awepe 34z29jmf.exe -del file "D:\WINDOWS\system32\naxgotk.dll" 34z29jmf.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\awepe" 34z29jmf.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\awepe" 34z29jmf.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	30.05.2011, 12:08	12
	чисто, что с обновлениями? 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	30.05.2011, 12:09	13
	ок теперь пробуйте установить експлорер 8 а потом повторите логи АВЗ РСИТ МБАМ не получится установить снова то пока только логи. 0

@Nise88 1 / 1 / 0 Регистрация: 27.05.2011 Сообщений: 27
	30.05.2011, 12:22 [ТС]	14
	Опять не вышло, скажите а это только для обновлений нужно? Я google chrome пользуюсь и мне Explorer не очень нужен, а в целом с компьютером все нормально? 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	30.05.2011, 12:58	15
	Сообщение от Nise88 Опять не вышло, скажите а это только для обновлений нужно? Я google chrome пользуюсь и мне Explorer не очень нужен, а в целом с компьютером все нормально? это нужно для вашей безопасности логи повторите АВЗ РСИТ МБАМ 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	30.05.2011, 15:25	17
	скачайте и установите патчи MS08-067 MS08-068 MS09-001 смените пароли в том числе и на администратора (qwert или 1234 не есть сложный пароль) Для деинсталяции Gmer используйте следующие рекомендации: Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd Обновления все так же не устанавливаются? Есть программа WSUS Offline, которая скачает все обновления в указанную папку и создаст файл который необходимо запустить, чтобы установить скаченные обновления. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	30.05.2011, 16:50	18
	проверить пуск панель управления система обновление, чтоб было включено. возможно скачать експлорер 8 для вашей операционной системы еще раз, если выдаст ошибку сказать какая, лучше приложить скрин. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	30.05.2011, 17:17	20
	тогда у вас постепенно обновления сами скачаются.. или сами .. без разницы.. на этом в принципе все. лечение провели рекомендации дали, тему можете отмечать решенной. если будут вопросы по теме спрашивайте, за сим удачи. 1