Voolgoaf Опубликовано 22 сентября, 2011 Опубликовано 22 сентября, 2011 (изменено) возникла давольно неприятная проблема, все папки на внешних носителях становятся их ярлыками прошу помощи. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 23 сентября, 2011 пользователем Voolgoaf
Tiare Опубликовано 23 сентября, 2011 Опубликовано 23 сентября, 2011 Voolgoaf, здравствуйте. Пофиксите в HijackThis следующие строчки. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. C:\WINDOWS\System32\Drivers\Sfloppy.SYS Подключите проблемный внешний носитель и, ничего не открывая на нем, сделайте новые логи по правилам раздела. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Все логи делать с подключенным проблемным внешним носителем!
Voolgoaf Опубликовано 26 сентября, 2011 Автор Опубликовано 26 сентября, 2011 ссылка на проверенный файл http://www.virustotal.com/file-scan/report...959f-1316785573 mbam_log_2011_09_27__00_52_07_.txt info.txt log.txt
Roman_Five Опубликовано 27 сентября, 2011 Опубликовано 27 сентября, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\documents and settings\Admin\local settings\Temp\0.9104550746746863.exe','MBAM:Exploit.Drop.2'); QuarantineFile('c:\documents and settings\Admin\local settings\Temp\0.16385739686662215.exe','MBAM:Exploit.Drop.2'); QuarantineFile('C:\WINDOWS\system32\4E97.tmp',''); QuarantineFile('C:\WINDOWS\system32\4E99.tmp',''); QuarantineFile('C:\WINDOWS\system32\flkxmwm.dll',''); QuarantineFile('c:\program files\macromedia\Rus.exe','MBAM:Malware.Packer.Gen'); QuarantineFile('c:\WINDOWS\notepad.exe','MBAM:Trojan.Agent'); QuarantineFile('f:\dragon age\Keygen.exe','MBAM:Trojan.Downloader'); DeleteFile('c:\documents and settings\Admin\local settings\Temp\0.9104550746746863.exe'); DeleteFile('c:\documents and settings\Admin\local settings\Temp\0.16385739686662215.exe'); DeleteFile('C:\WINDOWS\system32\4E97.tmp'); DeleteFile('C:\WINDOWS\system32\4E99.tmp'); DeleteFile('C:\WINDOWS\system32\flkxmwm.dll'); DelAutorunByFileName('C:\WINDOWS\system32\flkxmwm.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Удалите в MBAM ТОЛЬКО следующие объекты (если будут): c:\documents and settings\Admin\local settings\Temp\0.16385739686662215.exe (Exploit.Drop.2) -> No action taken. c:\documents and settings\Admin\local settings\Temp\0.9104550746746863.exe (Exploit.Drop.2) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Проверьте на virustotal.com: c:\program files\macromedia\Rus.exe (Malware.Packer.Gen) -> No action taken. c:\WINDOWS\notepad.exe (Trojan.Agent) -> No action taken. f:\dragon age\Keygen.exe (Trojan.Downloader) -> No action taken. 3 ссыдки на результат проверки приложите.
Xenon Опубликовано 27 сентября, 2011 Опубликовано 27 сентября, 2011 (изменено) Похожая ситуация была летом на рабочем компе. Спасибо Roman_Five, всё там вылечил... С тех пор на флешке держу батник, который восстанавливает скрытые файлы: запустил, становятся видимыми скрытые вирусом файлы, удаляешь "левые" ярлыки и папку (обычно Recycler) и радуешься что все чисто на флехе и инфа не пропала Вот ссылка на батник если кому пригодится: http://narod.ru/disk/26519518001/___%D0%92...5B1%5D.rar.html Изменено 27 сентября, 2011 пользователем Xenon
Tiare Опубликовано 27 сентября, 2011 Опубликовано 27 сентября, 2011 (изменено) Вот ссылка на батник если кому пригодится: http://narod.ru/disk/26488224001/!!...%D0%AB.bat.html ссылка не рабочая Вы про это говорите? Сохраните текст attrib -S -H /D /S в файле 1.bat на вашу флешку в корень диска и запустите его. Только сначала нужно очистить систему от зловредов, а потом файлы на внешних носителях сделать видимыми. Изменено 27 сентября, 2011 пользователем Tiare
Xenon Опубликовано 27 сентября, 2011 Опубликовано 27 сентября, 2011 (изменено) ссылка не рабочая Странно, 2 раза перезалил и не работает Перезалил, все работает - архивчик схавал Вы про это говорите?Сохраните текст attrib -S -H /D /S в файле 1.bat на вашу флешку в корень диска и запустите его. Именно так Только сначала нужно очистить систему от зловредов, а потом файлы на внешних носителях сделать видимыми. Я отключал автозапуск и потом батник - все прокатывало! ЕСТЕСТВЕННО это только для флешки! Комп все-равно лечить нужно! Автозапуск отключал с помощью регфайла, содержащего: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" ...подробнее в приложенном Word-документе Отключение_Включение_Автозапуска.doc Изменено 27 сентября, 2011 пользователем Xenon
Mark D. Pearlstone Опубликовано 1 октября, 2011 Опубликовано 1 октября, 2011 Сообщение от модератора Mark D. Pearlstone Часть сообщений выделено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=31496
Mark D. Pearlstone Опубликовано 5 октября, 2011 Опубликовано 5 октября, 2011 Сообщение от модератора Mark D. Pearlstone Часть сообщений выделено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=31568
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти