Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 20.03.2019, 14:48   #1 (permalink)
_gender
Новичок
 
Регистрация: 14.06.2018
Сообщений: 8
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию Вирус модифицирует документы на usb

Здравствуйте, уважаемые форумчане!
Есть подозрение, что на компьютере поселился вирус. Операционная система: windows xp, windows 7.
При подключении usb накопителя (при том, что в корне накопителя будут находится файлы документов - *.pdf, *.exe но возможно и другие, не проверял) оригиналы скрываются, а вместо них появляются файлы с расширением exe "[имя_оригинала.pdf].exe". При этом при открытии файла с расширением exe открывается нужный документ, но также (если я правильно понимаю) на компьютер перед этим устанавливается программа с вирусом.

Вот, что говорит VirusTotal

file_1.jpg

file_2.jpg

file_3.jpg

Так же могу отправить сам exe файл.
Хотелось бы выяснить его происхождение, насколько это возможно, и как его можно найти и удалить ручными средствами?
_gender вне форума   Ответить с цитированием

Старый 20.03.2019, 14:48
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Ранее созданные обсуждения должны помочь вам

Вирус скрывающий документы под ярлыком
Вирус заархивировал все документы и папки на сервере
вирус OSHIT заблокировал фотки и документы
"Вирус RECYCLER" При загрузки компа выскакивают Мои документы

Старый 20.03.2019, 15:40   #2 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Здесь вирусных аналитиков нет и происхождение вируса мы не установим.
Приложите полный образ автозапуска UVS по правилам - почистим.
Сам вирус отправлять не надо.
Vvvyg вне форума   Ответить с цитированием
Старый 20.03.2019, 16:54   #3 (permalink)
_gender
Новичок
 
Регистрация: 14.06.2018
Сообщений: 8
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

Прилагаю полный образ автозапуска UVS
User_2019-03-20_15-20-06_v4.1.3.7z
_gender вне форума   Ответить с цитированием
Старый 20.03.2019, 20:54   #4 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Загрузите систему в безопасном режиме и выполните скрипт в uVS:
Код:
;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЭЛЕКДОКУМ\APPLICATION DATA\MICROSOFT\{A328ACF5-DBF4-4879-8E4A-F736104B82CC}\BAC58A5F.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЭЛЕКДОКУМ\APPLICATION DATA\MICROSOFT\{A328ACF5-DBF4-4879-8E4A-F736104B82CC}\BAC58A5F.EXE
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ЭЛЕКДОКУМ\APPLICATION DATA\MICROSOFT\{A328ACF5-DBF4-4879-8E4A-F736104B82CC}
regt 5
deltmp
czoo
restart
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска UVS опять-таки в безопасном режиме.
Vvvyg вне форума   Ответить с цитированием
Старый 21.03.2019, 23:28   #5 (permalink)
_gender
Новичок
 
Регистрация: 14.06.2018
Сообщений: 8
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

Спасибо за помощь! Проблема решена
_gender вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 18:06.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.