Перейти к содержанию
Правила раздела

Скрытые файлы. Что это? Вирус? [LOG?]

Atos

От Atos
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Atos Новичок

Atos

Опубликовано
Опубликовано

WinXP. Не могу установить в свойствах папок "Показывать скрытые файлы и папки". После отметки нужной строки и нажатия "Применить" ничего не происходит, при повторном открытии свойств оказывается снова выбранным "Не показывать скрытые файлы и папки". Что это? вирус?

Касперский 6.0.3.830 с обновляемыми базами ничего не обнаруживает.

Ссылка на комментарий
Поделиться на другие сайты
Atos Новичок

Atos

Опубликовано
  • Автор
Опубликовано (изменено)

WinXP. Не могу включить показ скрытых файлов в свойствах папок. После выбора нужной строчки и нажатия "Применить" скрытые файлы так и не появляются, при повторном открытии свойств опять оказывается отмеченным "Не показывать скрытые файлы и папки"

Касперский 6.0.3.830 c обновляемыми базами ничего не находит

virusinfo_syscheck.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
antispy Постоялец

antispy

Опубликовано
Опубликовано

virusinfo_cure.zip - не нужен в теме. Удалите его.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winch84.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\SiPlugins.dll','');
QuarantineFile('C:\WINDOWS\system32\googlecd.dll','');
QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ota52.sys','');
DelBHO('{768A9281-F2D1-4572-964D-5E99AC78294A}');
DelBHO('{DC9377A2-2E8D-44A1-99DB-F8A821DF254D}');
DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
DeleteFile('C:\WINDOWS\system32\googlecd.dll');
DeleteFile('C:\WINDOWS\system32\SiPlugins.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Ota52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv28.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
BC_DeleteSvc('WZCSVCMySQL');
BC_DeleteSvc('ThemesG6FTPServer');
BC_DeleteSvc('NOD32krnSwPrv');
BC_DeleteSvc('NetDDEMSDTC');
BC_DeleteSvc('HTTPFilterProtectedStorage');
BC_DeleteSvc('FirebirdGuardianDefaultInstanceWebClient');
BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteRegistry');
BC_DeleteSvc('BITSupnphost');
BC_DeleteSvc('AudioSrvAlerter');
BC_DeleteSvc('ATITlntSvr');
BC_DeleteSvc('Winpv28');
BC_DeleteSvc('Winkq16');
BC_DeleteSvc('Winch84');
BC_DeleteSvc('Ota52');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('synsend');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

осле выполнения скрипта компьютер перезагрузится.

 

В АВЗ выполните:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с АВЗ вышлите на newvirus@kaspersky.com в письме укажите, что пароль на архив virus

Когда полусите результат сообщите.

 

2..Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: SafenSec - snsntfy.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

Повторите логи. Только нужен ещё и лог virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Atos Новичок

Atos

Опубликовано
  • Автор
Опубликовано

Вот сделал ещё GSI, дождался загрузки страницы http://www.getsysteminfo.com/read.php?file...2540d233fe0859b

Выдаёт подозрение на заражение драйверов (странно, почему Касперский ничего не обнаруживает, неизвестный вирус, что ли?)

 

Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет

GetSystemInfo_ILYA_Vyplov_2009_08_22_12_26_50.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Подготовьте логи AVZ.

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет

Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов.

Потом посмотрим, если враги не будут восставать из мёртвых, то просто удалите все ранее созданные точки воссановления и создатите новую.

Ссылка на комментарий
Поделиться на другие сайты
Atos Новичок

Atos

Опубликовано
  • Автор
Опубликовано
По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет?
Да, кроме этой
Имя: ASPNET

описание: Account used for running the ASP.NET worker process (aspnet_wp.exe)

domain: ILYA

localaccount: True

Статус: OK

 

Запустил GMER

При появлении окна с сообщением о деятельности руткита, нажмите No.

Такое окно не появлялось.

- Нажмите на кнопку Scan и дождитесь окончания проверки.
Долго проверяло диск C: и так и не проверило до конца ("обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"). Потом ещё попробую.

 

Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов.

Хорошо, сейчас попробую

Ссылка на комментарий
Поделиться на другие сайты
AlexNEW Ветеран

AlexNEW

Опубликовано
Опубликовано

На счёт этой учётной записи можно не беспокоится эта учётная запись системная . В меню "учётные записи пользователей" эта учётная запись отображается под названием "гость"

Ссылка на комментарий
Поделиться на другие сайты
Atos Новичок

Atos

Опубликовано
  • Автор
Опубликовано

Скрипт выполнил, письмо с вирусом отослал, в HijackThis указанное пофиксил. Новые логи сделал

 

Сейчас дважды попробовал запускать GMER, но теперь почти сразу же после нажатия Scan система намертво вешается :)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('F:\AUTORUN\AutoRun.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys','');
DeleteService('bbagqiqhznu');
QuarantineFile('Cmtp8pentpsi.sys','');
DeleteService('Cmtp8pentpsi');
DeleteFile('Cmtp8pentpsi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys');
DeleteFile('F:\AUTORUN\AutoRun.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');  
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем такой скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
Atos Новичок

Atos

Опубликовано
  • Автор
Опубликовано (изменено)

Получил ответ newvirus@kaspersky.com:

MYCENT~1.DLL, SiKernel.dll, SiPlugins.dll

 

Вредоносный код в файлах не обнаружен.

 

Между тем симптомы (сбрасывание настройки "Показывать скрытые файлы и папки") не исчезли. :)

 

 

 

Так, ну ладно, попробую новый скрипт

Изменено пользователем Atos
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Понятно что не исчезли: сидят активные зловреды в системе и пытаться восстановить эту возможность пока рано, они всёравно не дадут.

После того как почистим систему, то и эту функцию восстановим.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mistory_Young
      появился скрытый майнер
      От Mistory_Young
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
      CollectionLog-2025.01.18-04.00.zip
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      От CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Medoed Stepa
      Поймал "умный" ,скрытый майнер
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


×
×
  • Создать...