Скрытые файлы. Что это? Вирус? [LOG?]

[Atos]

WinXP. Не могу установить в свойствах папок "Показывать скрытые файлы и папки". После отметки нужной строки и нажатия "Применить" ничего не происходит, при повторном открытии свойств оказывается снова выбранным "Не показывать скрытые файлы и папки". Что это? вирус?

Касперский 6.0.3.830 с обновляемыми базами ничего не обнаруживает.

[миднайт]

Вот это прочитайте

http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Atos]

WinXP. Не могу включить показ скрытых файлов в свойствах папок. После выбора нужной строчки и нажатия "Применить" скрытые файлы так и не появляются, при повторном открытии свойств опять оказывается отмеченным "Не показывать скрытые файлы и папки"

Касперский 6.0.3.830 c обновляемыми базами ничего не находит

virusinfo_syscheck.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 22 августа, 2009 пользователем Falcon

[antispy]

virusinfo_cure.zip - не нужен в теме. Удалите его.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winch84.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\SiPlugins.dll','');
QuarantineFile('C:\WINDOWS\system32\googlecd.dll','');
QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ota52.sys','');
DelBHO('{768A9281-F2D1-4572-964D-5E99AC78294A}');
DelBHO('{DC9377A2-2E8D-44A1-99DB-F8A821DF254D}');
DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
DeleteFile('C:\WINDOWS\system32\googlecd.dll');
DeleteFile('C:\WINDOWS\system32\SiPlugins.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Ota52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv28.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
BC_DeleteSvc('WZCSVCMySQL');
BC_DeleteSvc('ThemesG6FTPServer');
BC_DeleteSvc('NOD32krnSwPrv');
BC_DeleteSvc('NetDDEMSDTC');
BC_DeleteSvc('HTTPFilterProtectedStorage');
BC_DeleteSvc('FirebirdGuardianDefaultInstanceWebClient');
BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteRegistry');
BC_DeleteSvc('BITSupnphost');
BC_DeleteSvc('AudioSrvAlerter');
BC_DeleteSvc('ATITlntSvr');
BC_DeleteSvc('Winpv28');
BC_DeleteSvc('Winkq16');
BC_DeleteSvc('Winch84');
BC_DeleteSvc('Ota52');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('synsend');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

осле выполнения скрипта компьютер перезагрузится.

 

В АВЗ выполните:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с АВЗ вышлите на newvirus@kaspersky.com в письме укажите, что пароль на архив virus

Когда полусите результат сообщите.

 

2..Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: SafenSec - snsntfy.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

Повторите логи. Только нужен ещё и лог virusinfo_syscure.zip

[Atos]

Вот сделал ещё GSI, дождался загрузки страницы http://www.getsysteminfo.com/read.php?file...2540d233fe0859b

Выдаёт подозрение на заражение драйверов (странно, почему Касперский ничего не обнаруживает, неизвестный вирус, что ли?)

 

Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет

GetSystemInfo_ILYA_Vyplov_2009_08_22_12_26_50.zip

[Falcon]

Подготовьте логи AVZ.

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[AlexNEW]

По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет?

[ТроПа]

Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет

Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов.

Потом посмотрим, если враги не будут восставать из мёртвых, то просто удалите все ранее созданные точки воссановления и создатите новую.

[Atos]

По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет?

Да, кроме этой

Имя: ASPNET

описание: Account used for running the ASP.NET worker process (aspnet_wp.exe)

domain: ILYA

localaccount: True

Статус: OK

 

Запустил GMER

При появлении окна с сообщением о деятельности руткита, нажмите No.

Такое окно не появлялось.

- Нажмите на кнопку Scan и дождитесь окончания проверки.

Долго проверяло диск C: и так и не проверило до конца ("обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"). Потом ещё попробую.

 

Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов.

Хорошо, сейчас попробую

[AlexNEW]

На счёт этой учётной записи можно не беспокоится эта учётная запись системная . В меню "учётные записи пользователей" эта учётная запись отображается под названием "гость"

[Atos]

Скрипт выполнил, письмо с вирусом отослал, в HijackThis указанное пофиксил. Новые логи сделал

 

Сейчас дважды попробовал запускать GMER, но теперь почти сразу же после нажатия Scan система намертво вешается

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('F:\AUTORUN\AutoRun.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys','');
DeleteService('bbagqiqhznu');
QuarantineFile('Cmtp8pentpsi.sys','');
DeleteService('Cmtp8pentpsi');
DeleteFile('Cmtp8pentpsi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys');
DeleteFile('F:\AUTORUN\AutoRun.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');  
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем такой скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

Повторите логи.

[Atos]

Получил ответ newvirus@kaspersky.com:

MYCENT~1.DLL, SiKernel.dll, SiPlugins.dll

 

Вредоносный код в файлах не обнаружен.

 

Между тем симптомы (сбрасывание настройки "Показывать скрытые файлы и папки") не исчезли.

 

 

 

Так, ну ладно, попробую новый скрипт

Изменено 22 августа, 2009 пользователем Atos

[ТроПа]

Понятно что не исчезли: сидят активные зловреды в системе и пытаться восстановить эту возможность пока рано, они всёравно не дадут.

После того как почистим систему, то и эту функцию восстановим.

[Atos]

После выполнения скриптов архив quarantine.zip пустой