Вроде вирус я словил, папки превратились в exe

  • Автор темы Автор темы Osman
  • Дата начала Дата начала
Osman

Osman

Потомок янычаров
17 Авг 2004
5.178
2.635
113
66
Перекати поле
Вроде вирус я словил, папки превратились в exe, как шелбану по какой либо папке, она становится якобы exe, причем иконка не меняется, и при клике открывается, но при попытке скажем из хоста че нибудь грузануть, папка из под контакта скажем, не видна, так как exe будь оно(или она) неладно(или неладна)! Помогайте мужики, неохота акронисить, да и экзэшки не на системном диске, хотя думаю и туда доберутся :((
 
Попробуй выключить все левое, что запускается вместе с виндой через Msconfig, и всякие непонятные службы тоже, потом перезагрузись и попробуй просканировать все Nod32 (у меня он такую заразу обычно находит). Потом обязательно выруби службу "Определение оборудования оболочки", чтобы всякие трояны с флешек и дисков не лезли. Надеюсь поможет:)
 
  • Like
Реакции: Osman
fon написал(а):
я думаю, что они там есть уже)

корочь, акронись, покеда ничего плохого не случилось.
Нажмите для раскрытия...

Ты прав, он уже там! Вообщем проакронисил я диск C, он восстановлен, остальные диски как были с экзешками так и остались:( Словил вирус я скорее всего из соньки фотоапарата, фотки сгружал на комп по юсб:((
Че делать, ума не приложу, нод32 что ли ставить?
 
Novus написал(а):
Попробуй выключить все левое, что запускается вместе с виндой через Msconfig, и всякие непонятные службы тоже, потом перезагрузись и попробуй просканировать все Nod32 (у меня он такую заразу обычно находит). Потом обязательно выруби службу "Определение оборудования оболочки", чтобы всякие трояны с флешек и дисков не лезли. Надеюсь поможет:)
Нажмите для раскрытия...

Спасибо за советы, а где это-определение оборудования? И где нод рабочий слить не подскажешь?
 
aldanor написал(а):
проверь комп HiJackThis сначала и убей все что найдешь левое
http://www.merijn.org/files/HiJackThis_v2.exe

вот тут туториал
http://www.spywareinfo.com/~merijn/htlogtutorial.php
Нажмите для раскрытия...

Спасибо, только я с успехом могу уничтожить все правое, так как не спец, пробовал не раз, обычно заканчивалось форматом:))
 
Osman написал(а):
Спасибо, только я с успехом могу уничтожить все правое, так как не спец, пробовал не раз, обычно заканчивалось форматом:))
Нажмите для раскрытия...

посмотри туториал, там все кратко и четко написано что надо убивать :)
разберешься, даже если ничего не знаешь ))
 
  • Like
Реакции: Osman
Osman,
У меня была похожая история с ноутом, когда вставил туда флэшку из телефона Сони-Эрикссон (!) Эти папки .exe образовывались только в тех папках, которые я открывал по какой-либо надобности. В принципе эта фигня безвредна, но, безусловно, раздражает.
 
  • Like
Реакции: Osman
Skripkin написал(а):
Osman,
У меня была похожая история с ноутом, когда вставил туда флэшку из телефона Сони-Эрикссон (!) Эти папки .exe образовывались только в тех папках, которые я открывал по какой-либо надобности. В принципе эта фигня безвредна, но, безусловно, раздражает.
Нажмите для раскрытия...

Ни фига себе безвредна, а как семплы грузить в хост, не видит ведь ничего?
И что теперь с фотиком делать?
 
Хе-хе, так это VBS.Small.a или его модификации - один из самых распространенных вирусов, использующий свойство автооткрытия в винде подключаемых носителей. Впредь никогда не пользуйся автооткрытием (автозапуском) с флешек, не включив постоянную защиту антивиря.

Файлы вируса помещаются в корне каждого логического диска и съёмных носителей (флешек всяких), помечены как скрытые системные, потому по-дефолту они не показываются. Вирус проникает в комп при попытке открыть зараженный им носитель, через дефолтный автозапуск. При этом запускается файл autorun.ini и файлы вируса успешно копируются на все доступные логические и съемные диски, а также в папку ..\WINDOWS\System32\autorun.vbs. и может создаваться папка \WINDOWS\System32\autorun. (с точкой в конце), куда тоже копируются файлы. Помимо этого в системный реестр вносится запись из реестрового файла autorun.reg.
Далее, если системой обнаруживается подключение любого съемного записываемого носителя, то перехвативший управление вирус копирует свои файлы из папки ..\WINDOWS\System32\autorun. на этот носитель. Таким образом, зараженный комп сам становится распространителем вируса.

Удаление вируса:
В редакторе реестра удали ключи и параметры, созданные после добавления туда настроек из файла autorun.reg. Измени значение в параметре реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] -> "Userinit"="C:\WINDOWS\system32\userinit.exe, autorun.vbs"
на следующее значение:
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
Поскольку сам вирус блокирует включение в винде показа скрытых системных файлов, то дальнейшее удаление производить через командную строку или любой сторонний файловый менеджер.
В корне всех логических и съёмных дисков удалить файл autorun.ini, также следующие файлы:
.\autorun.bin
.\autorun.vbs
C:\WINDOWS\system32\autorun.bin
C:\WINDOWS\system32\autorun.vbs
Ну и просканируй все диски антивирусником.
 
Последнее редактирование:
Хе-хе, как-то поймал такую хрень с клиентского флэш-плейера, она у меня вырубила антивирь напрочь (тогда это был Аваст). Вывести так и не смог, только форматом. Правда поведение было немного иное.
Osman написал(а):
папки превратились в exe
Нажмите для раскрытия...
Там внутри папки создавался ехе с именем и значком папки.
 
После установки нода32 я благополучно потерял папку Cakewalk Project, и еще несколько, их не видать, хотя размер диска F на котором они находились не изменился, запускал доктор верб, он папки видит, грит заражены все и удалить нах! Из под чего смотреть надоть, чтоб увидеть и как то заархивировать? Не силен в командных строках, точнее вообще не в курсе :lol: На диске F у меня лежат все библиотеки, скачанные за несколько лет, a также 18 гиговный образ Акрониса! Помогайте мужики, я в ступоре:dance3:
 
Корвин Амберский написал(а):
Хе-хе, так это VBS.Small.a или его модификации - один из самых распространенных вирусов, использующий свойство автооткрытия в винде подключаемых носителей. Впредь никогда не пользуйся автооткрытием (автозапуском) с флешек, не включив постоянную защиту антивиря.

Файлы вируса помещаются в корне каждого логического диска и съёмных носителей (флешек всяких), помечены как скрытые системные, потому по-дефолту они не показываются. Вирус проникает в комп при попытке открыть зараженный им носитель, через дефолтный автозапуск. При этом запускается файл autorun.ini и файлы вируса успешно копируются на все доступные логические и съемные диски, а также в папку ..\WINDOWS\System32\autorun.vbs. и может создаваться папка \WINDOWS\System32\autorun. (с точкой в конце), куда тоже копируются файлы. Помимо этого в системный реестр вносится запись из реестрового файла autorun.reg.
Далее, если системой обнаруживается подключение любого съемного записываемого носителя, то перехвативший управление вирус копирует свои файлы из папки ..\WINDOWS\System32\autorun. на этот носитель. Таким образом, зараженный комп сам становится распространителем вируса.

Удаление вируса:
В редакторе реестра удали ключи и параметры, созданные после добавления туда настроек из файла autorun.reg. Измени значение в параметре реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] -> "Userinit"="C:\WINDOWS\system32\userinit.exe, autorun.vbs"
на следующее значение:
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
Поскольку сам вирус блокирует включение в винде показа скрытых системных файлов, то дальнейшее удаление производить через командную строку или любой сторонний файловый менеджер.
В корне всех логических и съёмных дисков удалить файл autorun.ini, также следующие файлы:
.\autorun.bin
.\autorun.vbs
C:\WINDOWS\system32\autorun.bin
C:\WINDOWS\system32\autorun.vbs
Ну и просканируй все диски антивирусником.
Нажмите для раскрытия...

Тут все запущено:lol: как в корень пробраться, и как удалить, для танкиста в квадрате пожалуйста!
 
Osman, запость лог hijackthis2 (см. мой мсг выше) - может хоть станет ясно что у тебя за трабл и как его пофиксить +)
 
Войдите или зарегистрируйтесь для ответа.

Сейчас просматривают

Всего: 1 (пользователей: 0, гостей: 1)
Сверху Снизу