Скрытые файлы. Что это? Вирус? [LOG?]

19 августа, 2009

WinXP. Не могу установить в свойствах папок "Показывать скрытые файлы и папки". После отметки нужной строки и нажатия "Применить" ничего не происходит, при повторном открытии свойств оказывается снова выбранным "Не показывать скрытые файлы и папки". Что это? вирус?

Касперский 6.0.3.830 с обновляемыми базами ничего не обнаруживает.

19 августа, 2009

Вот это прочитайте

http://forum.kasperskyclub.ru/index.php?showtopic=1698

22 августа, 2009

WinXP. Не могу включить показ скрытых файлов в свойствах папок. После выбора нужной строчки и нажатия "Применить" скрытые файлы так и не появляются, при повторном открытии свойств опять оказывается отмеченным "Не показывать скрытые файлы и папки"

Касперский 6.0.3.830 c обновляемыми базами ничего не находит

virusinfo_syscheck.zip

hijackthis.log

Изменено 22 августа, 2009 пользователем Falcon

22 августа, 2009

virusinfo_cure.zip - не нужен в теме. Удалите его.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winch84.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\SiPlugins.dll','');
QuarantineFile('C:\WINDOWS\system32\googlecd.dll','');
QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ota52.sys','');
DelBHO('{768A9281-F2D1-4572-964D-5E99AC78294A}');
DelBHO('{DC9377A2-2E8D-44A1-99DB-F8A821DF254D}');
DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
DeleteFile('C:\WINDOWS\system32\googlecd.dll');
DeleteFile('C:\WINDOWS\system32\SiPlugins.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Ota52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv28.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
BC_DeleteSvc('WZCSVCMySQL');
BC_DeleteSvc('ThemesG6FTPServer');
BC_DeleteSvc('NOD32krnSwPrv');
BC_DeleteSvc('NetDDEMSDTC');
BC_DeleteSvc('HTTPFilterProtectedStorage');
BC_DeleteSvc('FirebirdGuardianDefaultInstanceWebClient');
BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteRegistry');
BC_DeleteSvc('BITSupnphost');
BC_DeleteSvc('AudioSrvAlerter');
BC_DeleteSvc('ATITlntSvr');
BC_DeleteSvc('Winpv28');
BC_DeleteSvc('Winkq16');
BC_DeleteSvc('Winch84');
BC_DeleteSvc('Ota52');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('synsend');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

осле выполнения скрипта компьютер перезагрузится.

В АВЗ выполните:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с АВЗ вышлите на newvirus@kaspersky.com в письме укажите, что пароль на архив virus

Когда полусите результат сообщите.

2..Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: SafenSec - snsntfy.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Повторите логи. Только нужен ещё и лог virusinfo_syscure.zip

22 августа, 2009

Вот сделал ещё GSI, дождался загрузки страницы http://www.getsysteminfo.com/read.php?file...2540d233fe0859b

Выдаёт подозрение на заражение драйверов (странно, почему Касперский ничего не обнаруживает, неизвестный вирус, что ли?)

Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет

GetSystemInfo_ILYA_Vyplov_2009_08_22_12_26_50.zip

22 августа, 2009

Подготовьте логи AVZ.

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

22 августа, 2009

По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет?

22 августа, 2009

Такой вопрос: а перед тем, как поставить данный скрипт в AVZ, всё-таки надо ли отключать восстановление системы? Просто очень не хотелось бы рисковать системой на рабочем компе, тем более, что пока вирус, кроме как непоказом скрытых файлов, больше никак себя не проявляет

Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов.

Потом посмотрим, если враги не будут восставать из мёртвых, то просто удалите все ранее созданные точки воссановления и создатите новую.

22 августа, 2009

По отчётам gsi я увидел что у вас много учётных записей на компьютере. Это вы их создали или нет?

Да, кроме этой

Имя: ASPNET
описание: Account used for running the ASP.NET worker process (aspnet_wp.exe)

domain: ILYA

localaccount: True

Статус: OK

Запустил GMER

При появлении окна с сообщением о деятельности руткита, нажмите No.

Такое окно не появлялось.

- Нажмите на кнопку Scan и дождитесь окончания проверки.

Долго проверяло диск C: и так и не проверило до конца ("обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"). Потом ещё попробую.

Если очень уж переживаете, то создайте контнтольную точку восстановления, перед выполнением предложенных скриптов.

Хорошо, сейчас попробую

22 августа, 2009

На счёт этой учётной записи можно не беспокоится эта учётная запись системная . В меню "учётные записи пользователей" эта учётная запись отображается под названием "гость"

22 августа, 2009

Скрипт выполнил, письмо с вирусом отослал, в HijackThis указанное пофиксил. Новые логи сделал

Сейчас дважды попробовал запускать GMER, но теперь почти сразу же после нажатия Scan система намертво вешается

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

22 августа, 2009

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('F:\AUTORUN\AutoRun.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys','');
DeleteService('bbagqiqhznu');
QuarantineFile('Cmtp8pentpsi.sys','');
DeleteService('Cmtp8pentpsi');
DeleteFile('Cmtp8pentpsi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\manqwabpyqoyvfq.sys');
DeleteFile('F:\AUTORUN\AutoRun.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');  
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Затем такой скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

Повторите логи.

22 августа, 2009

Получил ответ newvirus@kaspersky.com:

MYCENT~1.DLL, SiKernel.dll, SiPlugins.dll

Вредоносный код в файлах не обнаружен.

Между тем симптомы (сбрасывание настройки "Показывать скрытые файлы и папки") не исчезли.

Так, ну ладно, попробую новый скрипт

Изменено 22 августа, 2009 пользователем Atos

22 августа, 2009

Понятно что не исчезли: сидят активные зловреды в системе и пытаться восстановить эту возможность пока рано, они всёравно не дадут.

После того как почистим систему, то и эту функцию восстановим.

22 августа, 2009

После выполнения скриптов архив quarantine.zip пустой

Войти

Скрытые файлы. Что это? Вирус? [LOG?]

Рекомендуемые сообщения

Atos 0

Ссылка на сообщение

Поделиться на другие сайты

миднайт 21

Ссылка на сообщение

Поделиться на другие сайты

Atos 0

Ссылка на сообщение

Поделиться на другие сайты

antispy 7

Ссылка на сообщение

Поделиться на другие сайты

Atos 0

Ссылка на сообщение

Поделиться на другие сайты

Falcon 169

Ссылка на сообщение

Поделиться на другие сайты

AlexNEW 143

Ссылка на сообщение

Поделиться на другие сайты

ТроПа 92

Ссылка на сообщение

Поделиться на другие сайты

Atos 0

Ссылка на сообщение

Поделиться на другие сайты

AlexNEW 143

Ссылка на сообщение

Поделиться на другие сайты

Atos 0

Ссылка на сообщение

Поделиться на другие сайты

Falcon 169

Ссылка на сообщение

Поделиться на другие сайты

Atos 0

Ссылка на сообщение

Поделиться на другие сайты

ТроПа 92

Ссылка на сообщение

Поделиться на другие сайты

Atos 0

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum