Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   На флешке все файлы стали ярлыками (http://forum.oszone.net/showthread.php?t=318175)

KSS89 25-08-2016 17:09 2663150
На флешке все файлы стали ярлыками
 
Добрый день, прошу помощи у знатоков. Обычно когда вирус шифрует у флэшки файлы превращая их в ярлыки, выход находится благодаря файловому менеджеру, можно скрытые файлы посмотреть и хоть как то вытащить нужные файлы которые были скрыты, но столкнулся с вирусом по серьезнее, всем ярлыкам он прописал объект такого типа C:\Windows\system32\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&start ФОТО" "" "Посад.docx&cls&cls&cls&cls&cls&cls&start notepad.vbe&cls&cls&cls&cls&cls&cls&exit
Пытаюсь посмотреть скрытые и системные файлы, но их нет, одни ярлыки так и остались. Как вытащить файлы которые скрыл вирус?
Флешка - ADATA C008 8GB, места занято 33,5мб из 7,19гб. Пробовал всякими батниками открыть доступ к скрытым файлам, не помогли. :(

iskander-k 25-08-2016 20:48 2663195
Логи по правилам выложите. Логи делайте с подключенной флэшкой.

KSS89 26-08-2016 10:10 2663283
iskander-k, а где можно почитать правила выкладывания логов? ни разу этого просто не делал. :)

Sandor 26-08-2016 21:25 2663477
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

KSS89 27-08-2016 10:21 2663545
Хорошо, я их сделаю в понедельник как буду на работе. :)

KSS89 29-08-2016 13:46 2663891
Вложений: 1
iskander-k, прикрепил лог. :)

Sandor 29-08-2016 15:46 2663923
Цитата:
Цитата iskander-k
Логи делайте с подключенной флэшкой »
Делали именно так?

Подготовьте лог сканирования MBAM тоже с подключенной флэшкой.

KSS89 31-08-2016 11:15 2664462
Вложений: 1
Sandor, да логи делал с подключенной флэшкой, может в логах ничего не видно, потому что там история такова что человек пошел в магазин где печатают цветные фото, его флэшку эту вставили в ноут и сказали мол "у вас тут только одни ярлыки", так понимаю зараза залезла на флэшку с другого ПК а не с того ноута где я сейчас делаю логи.
Лог файл сделанный через MBAM прикрепил.

Sandor 31-08-2016 11:33 2664473
Удалите в MBAM все, кроме:
Цитата:
Файлы:
PUP.Optional.RAAmmyy, C:\Users\Анна\Desktop\Удалёнка\AA_v3.exe, , [821bb69ba6f443f3a31aeae57e863bc5],
Цитата:
Цитата KSS89
зараза залезла на флэшку с другого ПК »
Вероятно именно так и произошло.

В командной строке, запущенной от имени администратора, введите:
Цитата:
attrib -s -h I:\* /s /d
и нажмите Enter

I:\ - буква флешки. Если у вас другая - подставьте свою

KSS89 01-09-2016 12:43 2664811
Sandor, удалил всё кроме файла AA_v3.exe, в CMD с правами админа прописал
attrib -s -h F:\* /s /d
где F:\ - буква флэшки, нажал Enter и тишина, снова появилась строчка C:\Windows\system32>
посмотрел, внутри флэшки так ярлыки и остались, попробовал с скрытыми и системными файлами посмотреть, всё равно только ярлыки.

Sandor 01-09-2016 12:53 2664816
Возможно реальные файлы с флэшки удалены.
Проверьте с другой флэшкой на этой системе все ли в порядке и сообщите.

KSS89 28-09-2016 12:52 2673004
На системе той проверить нет возможности, человек воткнувший туда флешку был там в гостях... Решено было просто форматнуть эту флешку. Скорее всего да, файлы были удалены, т.к. их количество было приличным, а размер занятого пространства на флешке мизерный.


Время: 03:05.

Время: 03:05.
© OSzone.net 2001-