Неубиваемые картинки в папке RECYCLED

[HDD]

Здравствуйте уважаемые специалисты!

 

Проблема следующая - системный диск С(FAT32), папка RECYCLED постоянна заполнена файлами .jpeg , .htm , .gif , а также desktop.ini , INFO2. Удаление их с помощью Total Commander и Unlocker приводит к их реинкарнации через пару секунд. Проверял CureIt'ом , NOD'ом , Symantec , KK и прочие простые манипуляции. Может паранойа, помогите избавится))

 

Сообщение от модератора vasdas

Карантин virusinfo_cure.zip - не нужен в теме. Удален.

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxserv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\msqpdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[HDD]

Ответ от

newvirus@kaspersky.com

 

 

Здравствуйте,

 

 

quarantine.zip

 

Вредоносный код в файле не обнаружен.

 

-----------------

Сообщение от модератора vasdas

Имя вирусного аналитика, здесь, опубликовывать нельзя!

ЗАО "Лаборатория Касперского"

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[vit9696]

Иногда корзина отображается на съемных дисках, из нее нормально ничего нельзя удалить почистите корзину, если не поможет / она пустая - это вирус.

[Roman_Five]

предложение не шутка.

может всё проще?

 

правый клик на диске С:, свойства, очистка, все галки, ОК.

 

файлы появятся снова?

[HDD]

Очистил, ситуация в С:\RECYCLED не изменилась.Съемных дисков не подключено.

Изменено 16 января, 2010 пользователем HDD

[snifer67]

1.Скачайте http://www.freedrweb.com/livecd/

2.Удалите файл C:\WINDOWS\system32\drivers\msqpdxserv.sys

3.Сделайте новые логи.

[Roman_Five]

поищите в папке C:\WINDOWS\System32\Drivers или на всём диске C:

 

spez.sys

 

если сможете его скопировать - проверьте на virustotal.com

[snifer67]

Roman_Five, spez.sys-от алкоголя/демона.

Изменено 16 января, 2010 пользователем snifer67

[Roman_Five]

Roman_Five, spez.sys-от алкоголя/демона.

каюсь, поспешил.

описано тут и тут.

[HDD]

"1.Скачайте http://www.freedrweb.com/livecd/

2.Удалите файл C:\WINDOWS\system32\drivers\msqpdxserv.sys

3.Сделайте новые логи."

 

C:\WINDOWS\system32\drivers\msqpdxserv.sys не существует (не виден в TOTAL под LIVECD) , этой службы вообще нет пока не запущена винда. Удалил несколько msqpdxXXXX.sys.

В regedit нашел три параметра msqpdxserv

1.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys

2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys

3.HKEY_USERS\S-1-5-21-823518204-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey (значение параметра адрес 1ого пункта)

 

На попытки удалить их отвечают ошибкой, безопасный режим не запускается, под LiveCD их нет, сейчас удалю значение 3ого пункта и ребут...

[snifer67]

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[HDD]

да, GMER его видит (msqpdxserv.sys) как ***hidden***

GMER_LOG.log

[akoK]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится e51rg3k2.exe случайное имя утилиты (gmer)

e51rg3k2.exe -del service msqpdxserv.sys
e51rg3k2.exe -del file "C:\Windows\system32\drivers\msqpdxdlrvqqys.sys"
e51rg3k2.exe -del file "C:\Windows\system32\msqpdxvsalpkjk.dll"
e51rg3k2.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys"
e51rg3k2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys"
e51rg3k2.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

 

Скачиваем http://www2.gmer.net/mbr/mbr.exe, сохраняем на рабочий стол и запускаем. Рядом дожен появится лог, прикрепите его к сообщению тоже.

[snifer67]

+ к akoK

 

Просканируйтесь http://www.freedrweb.com/download+cureit/