Atos Опубликовано 19 августа, 2009 Опубликовано 19 августа, 2009 WinXP. Не могу установить в свойствах папок "Показывать скрытые файлы и папки". После отметки нужной строки и нажатия "Применить" ничего не происходит, при повторном открытии свойств оказывается снова выбранным "Не показывать скрытые файлы и папки". Что это? вирус? Касперский 6.0.3.830 с обновляемыми базами ничего не обнаруживает.
миднайт Опубликовано 19 августа, 2009 Опубликовано 19 августа, 2009 Вот это прочитайте http://forum.kasperskyclub.ru/index.php?showtopic=1698
Atos Опубликовано 22 августа, 2009 Автор Опубликовано 22 августа, 2009 (изменено) WinXP. Не могу включить показ скрытых файлов в свойствах папок. После выбора нужной строчки и нажатия "Применить" скрытые файлы так и не появляются, при повторном открытии свойств опять оказывается отмеченным "Не показывать скрытые файлы и папки" Касперский 6.0.3.830 c обновляемыми базами ничего не находит virusinfo_syscheck.zip virusinfo_syscheck.zip hijackthis.log Изменено 22 августа, 2009 пользователем Falcon
antispy Опубликовано 22 августа, 2009 Опубликовано 22 августа, 2009 virusinfo_cure.zip - не нужен в теме. Удалите его. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winch84.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\SiPlugins.dll',''); QuarantineFile('C:\WINDOWS\system32\googlecd.dll',''); QuarantineFile('C:\WINDOWS\system32\SiKernel.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ota52.sys',''); DelBHO('{768A9281-F2D1-4572-964D-5E99AC78294A}'); DelBHO('{DC9377A2-2E8D-44A1-99DB-F8A821DF254D}'); DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\SiKernel.dll'); DeleteFile('C:\WINDOWS\system32\googlecd.dll'); DeleteFile('C:\WINDOWS\system32\SiPlugins.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Ota52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv28.sys'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); BC_ImportAll; BC_DeleteSvc('WZCSVCMySQL'); BC_DeleteSvc('ThemesG6FTPServer'); BC_DeleteSvc('NOD32krnSwPrv'); BC_DeleteSvc('NetDDEMSDTC'); BC_DeleteSvc('HTTPFilterProtectedStorage'); BC_DeleteSvc('FirebirdGuardianDefaultInstanceWebClient'); BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteRegistry'); BC_DeleteSvc('BITSupnphost'); BC_DeleteSvc('AudioSrvAlerter'); BC_DeleteSvc('ATITlntSvr'); BC_DeleteSvc('Winpv28'); BC_DeleteSvc('Winkq16'); BC_DeleteSvc('Winch84'); BC_DeleteSvc('Ota52'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('synsend'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. осле выполнения скрипта компьютер перезагрузится. В АВЗ выполните: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip из папки с АВЗ вышлите на newvirus@kaspersky.com в письме укажите, что пароль на архив virus Когда полусите результат сообщите. 2..Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: SafenSec - snsntfy.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) Повторите логи. Только нужен ещё и лог virusinfo_syscure.zip
Atos Опубликовано 22 августа, 2009 Автор Опубликовано 22 августа, 2009 Вот сделал ещё GSI, дождался загрузки страницы http://www.getsysteminfo.com/read.php?file...2540d233fe0859b Выдаёт подозрение на заражение драйверов (странно, почему Касперский ничего не обнаруживает, неизвестный вирус, что ли?) Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет GetSystemInfo_ILYA_Vyplov_2009_08_22_12_26_50.zip
Falcon Опубликовано 22 августа, 2009 Опубликовано 22 августа, 2009 Подготовьте логи AVZ. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
AlexNEW Опубликовано 22 августа, 2009 Опубликовано 22 августа, 2009 По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет?
ТроПа Опубликовано 22 августа, 2009 Опубликовано 22 августа, 2009 Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов. Потом посмотрим, если враги не будут восставать из мёртвых, то просто удалите все ранее созданные точки воссановления и создатите новую.
Atos Опубликовано 22 августа, 2009 Автор Опубликовано 22 августа, 2009 По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет? Да, кроме этой Имя: ASPNETописание: Account used for running the ASP.NET worker process (aspnet_wp.exe) domain: ILYA localaccount: True Статус: OK Запустил GMER При появлении окна с сообщением о деятельности руткита, нажмите No. Такое окно не появлялось. - Нажмите на кнопку Scan и дождитесь окончания проверки. Долго проверяло диск C: и так и не проверило до конца ("обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"). Потом ещё попробую. Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов. Хорошо, сейчас попробую
AlexNEW Опубликовано 22 августа, 2009 Опубликовано 22 августа, 2009 На счёт этой учётной записи можно не беспокоится эта учётная запись системная . В меню "учётные записи пользователей" эта учётная запись отображается под названием "гость"
Atos Опубликовано 22 августа, 2009 Автор Опубликовано 22 августа, 2009 Скрипт выполнил, письмо с вирусом отослал, в HijackThis указанное пофиксил. Новые логи сделал Сейчас дважды попробовал запускать GMER, но теперь почти сразу же после нажатия Scan система намертво вешается virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Falcon Опубликовано 22 августа, 2009 Опубликовано 22 августа, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}'); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('F:\AUTORUN\AutoRun.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys',''); DeleteService('bbagqiqhznu'); QuarantineFile('Cmtp8pentpsi.sys',''); DeleteService('Cmtp8pentpsi'); DeleteFile('Cmtp8pentpsi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys'); DeleteFile('F:\AUTORUN\AutoRun.exe'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем такой скрипт в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. Повторите логи.
Atos Опубликовано 22 августа, 2009 Автор Опубликовано 22 августа, 2009 (изменено) Получил ответ newvirus@kaspersky.com: MYCENT~1.DLL, SiKernel.dll, SiPlugins.dll Вредоносный код в файлах не обнаружен. Между тем симптомы (сбрасывание настройки "Показывать скрытые файлы и папки") не исчезли. Так, ну ладно, попробую новый скрипт Изменено 22 августа, 2009 пользователем Atos
ТроПа Опубликовано 22 августа, 2009 Опубликовано 22 августа, 2009 Понятно что не исчезли: сидят активные зловреды в системе и пытаться восстановить эту возможность пока рано, они всёравно не дадут. После того как почистим систему, то и эту функцию восстановим.
Atos Опубликовано 22 августа, 2009 Автор Опубликовано 22 августа, 2009 После выполнения скриптов архив quarantine.zip пустой
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти