andrey_zaraza Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Добрый день. У меня на системе одновременно сожительствуют две этих папки.RECYCLER и RECYCLED. Проверка антивирусами типа нод и курейт доктор веб ничего не выявила - но эпизодически в системном реестре находится RECYCLER и RECYCLED. Эпизодически при проверке нодом появляется следующее сообщение 27.05.2009 21:31:25 Защита в режиме реального времени файл L:\System Volume Information\_restore{F1B9BED6-C0BE-4191-A108-0B6C41306096}\RP259\A0082326.com Win32/AutoRun.Agent.LZ червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: G:\WINDOWS\System32\svchost.exe.Хотя в системе все чисто - проверялось уже всем подряд во всех режимах - в том числе и в безопасном - и с загрузочного диска.... Ссылка на комментарий Поделиться на другие сайты More sharing options...
dan-1 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 сделайте как сказанно тут и вам помогут Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Однозначного ответа дать невозможно. RECYCLER - это может быть корзина на NTFS-разделах RECYCLED - это может быть корзина на FAT-разделах Однако в этих папках (лже-корзинах) могут маскироваться зловреды. Если такие папки на флэшке - тем более. На флэшке их быть не должно. Как и одновременно наличие обеих таких папок на одном диске L:\System Volume Information\_restore{F1B9BED6-C0BE-4191-A108-0B6C41306096}\RP259\A0082326.com - это зараженный файл в резервном хранилище системы. Выполните правила оказания помощи (ссылка в моей подписи). Проверим чистоту системы Ссылка на комментарий Поделиться на другие сайты More sharing options...
andrey_zaraza Опубликовано 30 мая, 2009 Автор Share Опубликовано 30 мая, 2009 (изменено) Доброй ночи. Выкладываю логи проверки. Кстати обе папки находятся на одном разделе и в одном диске рядышком - а при попытке стереть - появляются при следующей перезагрузке снова RECYCLER и RECYCLED virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 30 мая, 2009 пользователем andrey_zaraza Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 30 мая, 2009 Share Опубликовано 30 мая, 2009 Ошибаетесь G:\Documents and Settings\АндрейФ\Рабочий стол\Торренты 2009\anytv_setup.exe >>>>> Worm.Win32.AutoRun.ahrp успешно удален G:\Documents and Settings\АндрейФ\Рабочий стол\Св обновления\2\патч терминалки в ХР проф\TerminalserverNoRestrPatch-1-2Pre.zip - этот файл Вам известен? В нем находит Trojan.Win32.Agent.jh Ваши DNS 85.255.112.128,85.255.112.142 ? Ваш провайдер? org-name: UkrTeleGroup Ltd.address: UkrTeleGroup Ltd. Mechnikova 58/5 65029 Odessa Ukraine Если нет, то пофиксить в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF0D884-7BDD-4EEF-9E46-F2857686CFFC}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDECA471-1C3A-4A92-A8D4-DDCEA925A744}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить) Сделать новые логи. Логи AVZ делайте полиморфной версией (ссылки в моей подписи) 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
andrey_zaraza Опубликовано 31 мая, 2009 Автор Share Опубликовано 31 мая, 2009 (изменено) Доброе утро. ПРоверил все еще раз.Новые логи.ТЕперь наконец-то при проверке avz антивирусник стал ругаться на один архив - до этого он его ваабще не замечал. По поводу рекомендаций O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF0D884-7BDD-4EEF-9E46-F2857686CFFC}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDECA471-1C3A-4A92-A8D4-DDCEA925A744}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 удалил все эти ветки так как к Украине никакого отношения не имею.... hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 31 мая, 2009 пользователем andrey_zaraza Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 31 мая, 2009 Share Опубликовано 31 мая, 2009 Что теперь с Вашими корзинами? Удалять нужно только одну из папок, в соответствии с тем, что я писал о них раньше. Пофикчить в HiJack O2 - BHO: (no name) - {E7931FEA-62DF-435E-BD35-CF0C3EF52EAD} - (no file) Ссылка на комментарий Поделиться на другие сайты More sharing options...
andrey_zaraza Опубликовано 31 мая, 2009 Автор Share Опубликовано 31 мая, 2009 (изменено) перед перезагрузкой лишние корзины удалил, систему перезагрузил - они снова появились с датой создания - текущая дата и время. При этом на одном диске опять присутствуют одновременно обе папки при этом папка Recycled - как корзина со значком корзины а папка Recycler - как простая папка - но если туда войти - то там будет ссылка на корзину.... Изменено 31 мая, 2009 пользователем andrey_zaraza Ссылка на комментарий Поделиться на другие сайты More sharing options...
akoK Опубликовано 31 мая, 2009 Share Опубликовано 31 мая, 2009 Вы единственный пользователь на ПК? Ссылка на комментарий Поделиться на другие сайты More sharing options...
andrey_zaraza Опубликовано 31 мая, 2009 Автор Share Опубликовано 31 мая, 2009 Вы единственный пользователь на ПК? поднята терминалка еще на одного пользователя - но он здесь бывает редко. Чаще работаем через RADMIN Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 1 июня, 2009 Share Опубликовано 1 июня, 2009 Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Ссылка на комментарий Поделиться на другие сайты More sharing options...
andrey_zaraza Опубликовано 1 июня, 2009 Автор Share Опубликовано 1 июня, 2009 Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Malwarebytes' Anti-Malware 1.37 Версия базы данных: 2207 Windows 5.1.2600 Service Pack 2 01.06.2009 19:38:07 mbam-log-2009-06-01 (19-38-07).txt Тип проверки: Быстрая Проверено объектов: 97515 Прошло времени: 3 minute(s), 32 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 2 Заражено значений реестра: 8 Заражено параметров реестра: 7 Заражено папок: 0 Заражено файлов: 5 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\CLSID\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\services\del (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4af0d884-7bdd-4eef-9e46-f2857686cffc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{edeca471-1c3a-4a92-a8d4-ddcea925a744}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4af0d884-7bdd-4eef-9e46-f2857686cffc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{edeca471-1c3a-4a92-a8d4-ddcea925a744}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: G:\Program Files\TrafInsp\Agent\TrafInspAg_Tollbar.dll (Adware.BHO) -> Quarantined and deleted successfully. g:\WINDOWS\system32\Crypt.dll (Hacktool) -> Quarantined and deleted successfully. G:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully. g:\WINDOWS\system32\ovfsthahwtlhlifyqbkbgharefsqqucbubkskt.dat (Trojan.Agent) -> Quarantined and deleted successfully. g:\WINDOWS\system32\ovfsthbubsaqwbvwyupftyhhowyudawylhjlfy.dat (Trojan.Agent) -> Quarantined and deleted successfully. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 1 июня, 2009 Share Опубликовано 1 июня, 2009 Опачки, ovfsth... Или остатки или ... Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Ссылка на комментарий Поделиться на другие сайты More sharing options...
andrey_zaraza Опубликовано 1 июня, 2009 Автор Share Опубликовано 1 июня, 2009 Лог GMER GMER.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 1 июня, 2009 Share Опубликовано 1 июня, 2009 У меня мыслей пока больше нет. Может кто-нибудь еще подскажет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
От Anix
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти