HDD Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 Здравствуйте уважаемые специалисты! Проблема следующая - системный диск С(FAT32), папка RECYCLED постоянна заполнена файлами .jpeg , .htm , .gif , а также desktop.ini , INFO2. Удаление их с помощью Total Commander и Unlocker приводит к их реинкарнации через пару секунд. Проверял CureIt'ом , NOD'ом , Symantec , KK и прочие простые манипуляции. Может паранойа, помогите избавится)) Сообщение от модератора vasdas Карантин virusinfo_cure.zip - не нужен в теме. Удален. virusinfo_syscure.zip hijackthis.log
snifer67 Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxserv.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\msqpdxserv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи.
HDD Опубликовано 16 января, 2010 Автор Опубликовано 16 января, 2010 Ответ от newvirus@kaspersky.com Здравствуйте, quarantine.zip Вредоносный код в файле не обнаружен. ----------------- Сообщение от модератора vasdas Имя вирусного аналитика, здесь, опубликовывать нельзя! ЗАО "Лаборатория Касперского" virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
vit9696 Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 Иногда корзина отображается на съемных дисках, из нее нормально ничего нельзя удалить почистите корзину, если не поможет / она пустая - это вирус.
Roman_Five Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 предложение не шутка. может всё проще? правый клик на диске С:, свойства, очистка, все галки, ОК. файлы появятся снова?
HDD Опубликовано 16 января, 2010 Автор Опубликовано 16 января, 2010 (изменено) Очистил, ситуация в С:\RECYCLED не изменилась.Съемных дисков не подключено. Изменено 16 января, 2010 пользователем HDD
snifer67 Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 1.Скачайте http://www.freedrweb.com/livecd/ 2.Удалите файл C:\WINDOWS\system32\drivers\msqpdxserv.sys 3.Сделайте новые логи.
Roman_Five Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 поищите в папке C:\WINDOWS\System32\Drivers или на всём диске C: spez.sys если сможете его скопировать - проверьте на virustotal.com
snifer67 Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 (изменено) Roman_Five, spez.sys-от алкоголя/демона. Изменено 16 января, 2010 пользователем snifer67
Roman_Five Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 Roman_Five, spez.sys-от алкоголя/демона. каюсь, поспешил. описано тут и тут.
HDD Опубликовано 16 января, 2010 Автор Опубликовано 16 января, 2010 "1.Скачайте http://www.freedrweb.com/livecd/ 2.Удалите файл C:\WINDOWS\system32\drivers\msqpdxserv.sys 3.Сделайте новые логи." C:\WINDOWS\system32\drivers\msqpdxserv.sys не существует (не виден в TOTAL под LIVECD) , этой службы вообще нет пока не запущена винда. Удалил несколько msqpdxXXXX.sys. В regedit нашел три параметра msqpdxserv 1.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys 2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys 3.HKEY_USERS\S-1-5-21-823518204-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey (значение параметра адрес 1ого пункта) На попытки удалить их отвечают ошибкой, безопасный режим не запускается, под LiveCD их нет, сейчас удалю значение 3ого пункта и ребут...
snifer67 Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
HDD Опубликовано 16 января, 2010 Автор Опубликовано 16 января, 2010 да, GMER его видит (msqpdxserv.sys) как ***hidden*** GMER_LOG.log
akoK Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится e51rg3k2.exe случайное имя утилиты (gmer) e51rg3k2.exe -del service msqpdxserv.sys e51rg3k2.exe -del file "C:\Windows\system32\drivers\msqpdxdlrvqqys.sys" e51rg3k2.exe -del file "C:\Windows\system32\msqpdxvsalpkjk.dll" e51rg3k2.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys" e51rg3k2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys" e51rg3k2.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. Скачиваем http://www2.gmer.net/mbr/mbr.exe, сохраняем на рабочий стол и запускаем. Рядом дожен появится лог, прикрепите его к сообщению тоже.
snifer67 Опубликовано 17 января, 2010 Опубликовано 17 января, 2010 + к akoK Просканируйтесь http://www.freedrweb.com/download+cureit/
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти