Вирус, создающий на флешке ярлык со ссылкой на эту флешку

@DPribytok · Регистрация: 01.08.2013

Author24 — интернет-сервис помощи студентам

При двойном щелчке по ярлыку открывается окно с содержимым флешки, однако при этом начинает периодически появляться и исчезать файл autorun с соответствующим появлением-исчезновением некого процесса wuauclt в диспетчере задач. Сделал все, как говорилось в правилах форума на счет логов, прошу помочь с удалением этого, надоевшего мне вируса.

@thyrex · 01.08.2013, 17:50

Содержимое этих скрытых папок покажите

C:\Users\Dima\AppData\Roaming\b376
C:\b24

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Dima\LOCALS~1\Temp\cczcvzqf.scr','');
 QuarantineFile('C:\Users\Dima\AppData\Roaming\b376\a56.js','');
 DeleteFile('C:\Users\Dima\AppData\Roaming\b376\a56.js','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a56');
 DeleteFile('C:\Users\Dima\LOCALS~1\Temp\cczcvzqf.scr','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

@DPribytok · 01.08.2013, 19:14 **[ТС]**

Вот, сделал все, как сказали )

@thyrex · 01.08.2013, 19:30

Удалите эти папки

В редакторе реестра:
1. верните права на ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и удалите параметр a56
2. верните права на ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows и удалите параметр Load

Откройте файл C:\Windows\win.ini и удалите в нем упоминание о C:\Users\Dima\LOCALS~1\Temp\cczcvzqf.scr

Проблема решена?

@DPribytok · 01.08.2013, 20:02 **[ТС]**

Почему-то не могу удалить эти папки.
Во-первых через файловую систему Windows-a они почему-то не видны, хотя в свойствах папок я указал, чтобы все скрытые файлы и папки были видны.
Удаляя их через командную строку через некоторое время я смотрю, что они опять появляются.

Добавлено через 16 минут
в файле win.ini не нашел ничего связанного с cczcvzqf.scr

@thyrex · 02.08.2013, 00:56

Скачайте ComboFix здесь и сохраните на Рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

@DPribytok · 02.08.2013, 12:59 **[ТС]**

Сделал. )

@thyrex · 02.08.2013, 22:31

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код

KillAll::

File::

Driver::

Folder::
C:\b24
c:\users\Dima\AppData\Roaming\b376

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

@DPribytok · 02.08.2013, 23:45 **[ТС]**

Есть. Теперь папки удалились )

@thyrex · 03.08.2013, 13:00

Что с проблемой?

@DPribytok · 03.08.2013, 14:14 **[ТС]**

Спасибо большое за помощь, проблема решена.

Остался наверное последний вопрос, как теперь на флешке восстановить мои файлы. Гугл подсказал создать .bat файл в корне флешки со следующим содержимым attrib -s -h -r -a /s /d однако после его запуска ничего так и не меняется. В процессе выполнения батника напротив файлов присутствует строка "нет доступа".

@thyrex · 03.08.2013, 14:16

Можно с помощью Total Commander атрибуты поменять

@DPribytok · 05.08.2013, 18:16 **[ТС]**

Файлы не видны через Total Commander, поэтому как поменять их атрибуты ? (

@shestale · 05.08.2013, 19:29

Сообщение от DPribytok

attrib -s -h -r -a /s /d однако после его запуска ничего так и не меняется

попробуйте так:
Скопируйте(без цифры 1) следующий текст в Блокнот и сохраните, как run.bat:

Код

attrib "*" -s -h -a -r /s /d

скопируйте файл run.bat в корень флешки и запустите.
Внимание не запускайте этот файл, когда он находится на жестком диске.

@DPribytok · 05.08.2013, 21:26 **[ТС]**

К сожалению эффект тот же.

Добавлено через 58 минут
Проблема решилась. Зашел от другой учетной записи и с помощью run.bat файлы стали видны.
Спасибо большое за помощь !

@shestale · 06.08.2013, 06:17

Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@DPribytok 0 / 0 / 0 Регистрация: 01.08.2013 Сообщений: 14
	03.08.2013, 14:14 [ТС]	11
	Спасибо большое за помощь, проблема решена. Остался наверное последний вопрос, как теперь на флешке восстановить мои файлы. Гугл подсказал создать .bat файл в корне флешки со следующим содержимым attrib -s -h -r -a /s /d однако после его запуска ничего так и не меняется. В процессе выполнения батника напротив файлов присутствует строка "нет доступа". 0

@thyrex 13271 / 7395 / 1565 Регистрация: 06.09.2009 Сообщений: 26,956
	01.08.2013, 19:30	4
	Удалите эти папки В редакторе реестра: 1. верните права на ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и удалите параметр a56 2. верните права на ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows и удалите параметр Load Откройте файл C:\Windows\win.ini и удалите в нем упоминание о C:\Users\Dima\LOCALS~1\Temp\cczcvzqf.scr Проблема решена? 0

@DPribytok 0 / 0 / 0 Регистрация: 01.08.2013 Сообщений: 14
	01.08.2013, 20:02 [ТС]	5
	Почему-то не могу удалить эти папки. Во-первых через файловую систему Windows-a они почему-то не видны, хотя в свойствах папок я указал, чтобы все скрытые файлы и папки были видны. Удаляя их через командную строку через некоторое время я смотрю, что они опять появляются. Добавлено через 16 минут в файле win.ini не нашел ничего связанного с cczcvzqf.scr 0

@thyrex 13271 / 7395 / 1565 Регистрация: 06.09.2009 Сообщений: 26,956
	02.08.2013, 00:56	6
	Скачайте ComboFix здесь и сохраните на Рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe 0

@thyrex 13271 / 7395 / 1565 Регистрация: 06.09.2009 Сообщений: 26,956
	02.08.2013, 22:31	8
	Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С Код KillAll:: File:: Driver:: Folder:: C:\b24 c:\users\Dima\AppData\Roaming\b376 Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. http://safezone.cc/images/cfscript.gif Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. 0

@thyrex 13271 / 7395 / 1565 Регистрация: 06.09.2009 Сообщений: 26,956
	03.08.2013, 13:00	10
	Что с проблемой? 0

@thyrex 13271 / 7395 / 1565 Регистрация: 06.09.2009 Сообщений: 26,956
	03.08.2013, 14:16	12
	Можно с помощью Total Commander атрибуты поменять 0

@DPribytok 0 / 0 / 0 Регистрация: 01.08.2013 Сообщений: 14
	05.08.2013, 18:16 [ТС]	13
	Файлы не видны через Total Commander, поэтому как поменять их атрибуты ? ( 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	05.08.2013, 19:29	14
	Сообщение от DPribytok attrib -s -h -r -a /s /d однако после его запуска ничего так и не меняется попробуйте так: Скопируйте(без цифры 1) следующий текст в Блокнот и сохраните, как run.bat: Код attrib "*" -s -h -a -r /s /d скопируйте файл run.bat в корень флешки и запустите. Внимание не запускайте этот файл, когда он находится на жестком диске. 0

@DPribytok 0 / 0 / 0 Регистрация: 01.08.2013 Сообщений: 14
	05.08.2013, 21:26 [ТС]	15
	К сожалению эффект тот же. Добавлено через 58 минут Проблема решилась. Зашел от другой учетной записи и с помощью run.bat файлы стали видны. Спасибо большое за помощь ! 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	06.08.2013, 06:17	16
	Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0