Atos 0 Опубликовано 19 августа, 2009 Share Опубликовано 19 августа, 2009 WinXP. Не могу установить в свойствах папок "Показывать скрытые файлы и папки". После отметки нужной строки и нажатия "Применить" ничего не происходит, при повторном открытии свойств оказывается снова выбранным "Не показывать скрытые файлы и папки". Что это? вирус? Касперский 6.0.3.830 с обновляемыми базами ничего не обнаруживает. Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 19 августа, 2009 Share Опубликовано 19 августа, 2009 Вот это прочитайте http://forum.kasperskyclub.ru/index.php?showtopic=1698 Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 22 августа, 2009 Автор Share Опубликовано 22 августа, 2009 (изменено) WinXP. Не могу включить показ скрытых файлов в свойствах папок. После выбора нужной строчки и нажатия "Применить" скрытые файлы так и не появляются, при повторном открытии свойств опять оказывается отмеченным "Не показывать скрытые файлы и папки" Касперский 6.0.3.830 c обновляемыми базами ничего не находит virusinfo_syscheck.zip virusinfo_syscheck.zip hijackthis.log Изменено 22 августа, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
antispy 7 Опубликовано 22 августа, 2009 Share Опубликовано 22 августа, 2009 virusinfo_cure.zip - не нужен в теме. Удалите его. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winch84.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\SiPlugins.dll',''); QuarantineFile('C:\WINDOWS\system32\googlecd.dll',''); QuarantineFile('C:\WINDOWS\system32\SiKernel.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ota52.sys',''); DelBHO('{768A9281-F2D1-4572-964D-5E99AC78294A}'); DelBHO('{DC9377A2-2E8D-44A1-99DB-F8A821DF254D}'); DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\SiKernel.dll'); DeleteFile('C:\WINDOWS\system32\googlecd.dll'); DeleteFile('C:\WINDOWS\system32\SiPlugins.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Ota52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv28.sys'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); BC_ImportAll; BC_DeleteSvc('WZCSVCMySQL'); BC_DeleteSvc('ThemesG6FTPServer'); BC_DeleteSvc('NOD32krnSwPrv'); BC_DeleteSvc('NetDDEMSDTC'); BC_DeleteSvc('HTTPFilterProtectedStorage'); BC_DeleteSvc('FirebirdGuardianDefaultInstanceWebClient'); BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteRegistry'); BC_DeleteSvc('BITSupnphost'); BC_DeleteSvc('AudioSrvAlerter'); BC_DeleteSvc('ATITlntSvr'); BC_DeleteSvc('Winpv28'); BC_DeleteSvc('Winkq16'); BC_DeleteSvc('Winch84'); BC_DeleteSvc('Ota52'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('synsend'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. осле выполнения скрипта компьютер перезагрузится. В АВЗ выполните: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip из папки с АВЗ вышлите на newvirus@kaspersky.com в письме укажите, что пароль на архив virus Когда полусите результат сообщите. 2..Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: SafenSec - snsntfy.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) Повторите логи. Только нужен ещё и лог virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 22 августа, 2009 Автор Share Опубликовано 22 августа, 2009 Вот сделал ещё GSI, дождался загрузки страницы http://www.getsysteminfo.com/read.php?file...2540d233fe0859b Выдаёт подозрение на заражение драйверов (странно, почему Касперский ничего не обнаруживает, неизвестный вирус, что ли?) Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет GetSystemInfo_ILYA_Vyplov_2009_08_22_12_26_50.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 22 августа, 2009 Share Опубликовано 22 августа, 2009 Подготовьте логи AVZ. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexNEW 143 Опубликовано 22 августа, 2009 Share Опубликовано 22 августа, 2009 По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 августа, 2009 Share Опубликовано 22 августа, 2009 Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов. Потом посмотрим, если враги не будут восставать из мёртвых, то просто удалите все ранее созданные точки воссановления и создатите новую. Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 22 августа, 2009 Автор Share Опубликовано 22 августа, 2009 По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет? Да, кроме этой Имя: ASPNETописание: Account used for running the ASP.NET worker process (aspnet_wp.exe) domain: ILYA localaccount: True Статус: OK Запустил GMER При появлении окна с сообщением о деятельности руткита, нажмите No. Такое окно не появлялось. - Нажмите на кнопку Scan и дождитесь окончания проверки. Долго проверяло диск C: и так и не проверило до конца ("обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"). Потом ещё попробую. Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов. Хорошо, сейчас попробую Цитата Ссылка на сообщение Поделиться на другие сайты
AlexNEW 143 Опубликовано 22 августа, 2009 Share Опубликовано 22 августа, 2009 На счёт этой учётной записи можно не беспокоится эта учётная запись системная . В меню "учётные записи пользователей" эта учётная запись отображается под названием "гость" Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 22 августа, 2009 Автор Share Опубликовано 22 августа, 2009 Скрипт выполнил, письмо с вирусом отослал, в HijackThis указанное пофиксил. Новые логи сделал Сейчас дважды попробовал запускать GMER, но теперь почти сразу же после нажатия Scan система намертво вешается virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 22 августа, 2009 Share Опубликовано 22 августа, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}'); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('F:\AUTORUN\AutoRun.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys',''); DeleteService('bbagqiqhznu'); QuarantineFile('Cmtp8pentpsi.sys',''); DeleteService('Cmtp8pentpsi'); DeleteFile('Cmtp8pentpsi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys'); DeleteFile('F:\AUTORUN\AutoRun.exe'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем такой скрипт в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 22 августа, 2009 Автор Share Опубликовано 22 августа, 2009 (изменено) Получил ответ newvirus@kaspersky.com: MYCENT~1.DLL, SiKernel.dll, SiPlugins.dll Вредоносный код в файлах не обнаружен. Между тем симптомы (сбрасывание настройки "Показывать скрытые файлы и папки") не исчезли. Так, ну ладно, попробую новый скрипт Изменено 22 августа, 2009 пользователем Atos Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 августа, 2009 Share Опубликовано 22 августа, 2009 Понятно что не исчезли: сидят активные зловреды в системе и пытаться восстановить эту возможность пока рано, они всёравно не дадут. После того как почистим систему, то и эту функцию восстановим. Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 22 августа, 2009 Автор Share Опубликовано 22 августа, 2009 После выполнения скриптов архив quarantine.zip пустой Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.