Помогите вылечить...

Первопечатник · 11.10.2016, 17:47

Вирус, который переделывает на флэшке все файлы в .lnk
Вот лог uVS

Vvvyg · 12.10.2016, 00:32

Цитата:

uVS v3.85 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

Текущая версия - 3.87.6, скачайте по ссылке отсюда - с зеркала, там самая свежая версия.

Выполните в ней скрипт:

Код:

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE\MICROSOFT EXCEL.WSF
dirzooex %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE
delall %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE\MICROSOFT EXCEL.WSF
delref %SystemDrive%\USERS\SECRETAR\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE
deldir %SystemDrive%\USERS\SECRETAR\APPDATA\LOCAL\KOMETA\PANEL
delref %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE\\MICROSOFT EXCEL.WSF
delref HTTP://EFREMYAN.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=EE9D714796066E8D5BD1796CA9B9127C
czoo
deltmp
restart

Компьютер перезагрузится.

В папке с uVS появится архив 7z с именем, начинающимся с ZOO_ и далее из даты и времени, пришлите мне этот архив на vvvyg@ya.ru.

Сделайте новый полный образ автозапуска и дайте ссылку здесь в теме.

Первопечатник · 12.10.2016, 10:35

Архив не появился

safety · 12.10.2016, 10:39

добавьте новый образ автозапуска.

Первопечатник · 12.10.2016, 10:40

Вот новый лог

safety · 12.10.2016, 10:43

этот файл проверьте на http://virustotal.com
и дайте ссылку на линк проверки.

Цитата:

C:\PROGRAMDATA\PROTEXIS\KGYGAAVL.SYS

Первопечатник · 12.10.2016, 10:50

"https://virustotal.com/ru/file/fef2b4d2c9a57590d4df4bb2cc59055aaedff622924ab70a7f f1d7f10724eba0/analysis/1476254855/"

safety · 12.10.2016, 11:18

ссылка неверная,
но
судя по результату проверки файл чист.

Цитата:

2016-10-12
Файл был чист на момент проверки.

-----------

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\SECRETAR\APPDATA\LOCAL\KOMETA\PANEL

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

prima · 12.10.2016, 11:22

Цитата:

Сообщение от safety

ссылка неверная

Ссылка верная, просто движок сайта вписал туда лишний пробел.
Дублирую.
https://virustotal.com/ru/file/fef2b...is/1476254855/

Первопечатник · 12.10.2016, 11:28

Флешки больше не переделывает. Но иногда в браузере параллельно ссылки открываются. Сканирование (угроз) в Malwarebytes делаю. Отчет нужно выкладывать?

11.10.2016, 17:47
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Подобные темы уже не раз создавались, вот они Помогите вылечить Помогите вылечить вирус Помогите вылечить!!!! помогите вылечить fixhosts Помогите вылечить

12.10.2016, 10:35	#3 (permalink)
Первопечатник Новичок Регистрация: 11.10.2016 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Архив не появился

12.10.2016, 10:39	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	добавьте новый образ автозапуска.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

12.10.2016, 10:50	#7 (permalink)
Первопечатник Новичок Регистрация: 11.10.2016 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	"https://virustotal.com/ru/file/fef2b4d2c9a57590d4df4bb2cc59055aaedff622924ab70a7f f1d7f10724eba0/analysis/1476254855/"

12.10.2016, 11:28	#10 (permalink)
Первопечатник Новичок Регистрация: 11.10.2016 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Флешки больше не переделывает. Но иногда в браузере параллельно ссылки открываются. Сканирование (угроз) в Malwarebytes делаю. Отчет нужно выкладывать?