andrey_zaraza Опубликовано 29 мая, 2009 Опубликовано 29 мая, 2009 Добрый день. У меня на системе одновременно сожительствуют две этих папки.RECYCLER и RECYCLED. Проверка антивирусами типа нод и курейт доктор веб ничего не выявила - но эпизодически в системном реестре находится RECYCLER и RECYCLED. Эпизодически при проверке нодом появляется следующее сообщение 27.05.2009 21:31:25 Защита в режиме реального времени файл L:\System Volume Information\_restore{F1B9BED6-C0BE-4191-A108-0B6C41306096}\RP259\A0082326.com Win32/AutoRun.Agent.LZ червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: G:\WINDOWS\System32\svchost.exe.Хотя в системе все чисто - проверялось уже всем подряд во всех режимах - в том числе и в безопасном - и с загрузочного диска....
thyrex Опубликовано 29 мая, 2009 Опубликовано 29 мая, 2009 Однозначного ответа дать невозможно. RECYCLER - это может быть корзина на NTFS-разделах RECYCLED - это может быть корзина на FAT-разделах Однако в этих папках (лже-корзинах) могут маскироваться зловреды. Если такие папки на флэшке - тем более. На флэшке их быть не должно. Как и одновременно наличие обеих таких папок на одном диске L:\System Volume Information\_restore{F1B9BED6-C0BE-4191-A108-0B6C41306096}\RP259\A0082326.com - это зараженный файл в резервном хранилище системы. Выполните правила оказания помощи (ссылка в моей подписи). Проверим чистоту системы
andrey_zaraza Опубликовано 30 мая, 2009 Автор Опубликовано 30 мая, 2009 (изменено) Доброй ночи. Выкладываю логи проверки. Кстати обе папки находятся на одном разделе и в одном диске рядышком - а при попытке стереть - появляются при следующей перезагрузке снова RECYCLER и RECYCLED virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 30 мая, 2009 пользователем andrey_zaraza
thyrex Опубликовано 30 мая, 2009 Опубликовано 30 мая, 2009 Ошибаетесь G:\Documents and Settings\АндрейФ\Рабочий стол\Торренты 2009\anytv_setup.exe >>>>> Worm.Win32.AutoRun.ahrp успешно удален G:\Documents and Settings\АндрейФ\Рабочий стол\Св обновления\2\патч терминалки в ХР проф\TerminalserverNoRestrPatch-1-2Pre.zip - этот файл Вам известен? В нем находит Trojan.Win32.Agent.jh Ваши DNS 85.255.112.128,85.255.112.142 ? Ваш провайдер? org-name: UkrTeleGroup Ltd.address: UkrTeleGroup Ltd. Mechnikova 58/5 65029 Odessa Ukraine Если нет, то пофиксить в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF0D884-7BDD-4EEF-9E46-F2857686CFFC}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDECA471-1C3A-4A92-A8D4-DDCEA925A744}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить) Сделать новые логи. Логи AVZ делайте полиморфной версией (ссылки в моей подписи) 1
andrey_zaraza Опубликовано 31 мая, 2009 Автор Опубликовано 31 мая, 2009 (изменено) Доброе утро. ПРоверил все еще раз.Новые логи.ТЕперь наконец-то при проверке avz антивирусник стал ругаться на один архив - до этого он его ваабще не замечал. По поводу рекомендаций O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF0D884-7BDD-4EEF-9E46-F2857686CFFC}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDECA471-1C3A-4A92-A8D4-DDCEA925A744}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 удалил все эти ветки так как к Украине никакого отношения не имею.... hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 31 мая, 2009 пользователем andrey_zaraza
thyrex Опубликовано 31 мая, 2009 Опубликовано 31 мая, 2009 Что теперь с Вашими корзинами? Удалять нужно только одну из папок, в соответствии с тем, что я писал о них раньше. Пофикчить в HiJack O2 - BHO: (no name) - {E7931FEA-62DF-435E-BD35-CF0C3EF52EAD} - (no file)
andrey_zaraza Опубликовано 31 мая, 2009 Автор Опубликовано 31 мая, 2009 (изменено) перед перезагрузкой лишние корзины удалил, систему перезагрузил - они снова появились с датой создания - текущая дата и время. При этом на одном диске опять присутствуют одновременно обе папки при этом папка Recycled - как корзина со значком корзины а папка Recycler - как простая папка - но если туда войти - то там будет ссылка на корзину.... Изменено 31 мая, 2009 пользователем andrey_zaraza
andrey_zaraza Опубликовано 31 мая, 2009 Автор Опубликовано 31 мая, 2009 Вы единственный пользователь на ПК? поднята терминалка еще на одного пользователя - но он здесь бывает редко. Чаще работаем через RADMIN
thyrex Опубликовано 1 июня, 2009 Опубликовано 1 июня, 2009 Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM
andrey_zaraza Опубликовано 1 июня, 2009 Автор Опубликовано 1 июня, 2009 Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Malwarebytes' Anti-Malware 1.37 Версия базы данных: 2207 Windows 5.1.2600 Service Pack 2 01.06.2009 19:38:07 mbam-log-2009-06-01 (19-38-07).txt Тип проверки: Быстрая Проверено объектов: 97515 Прошло времени: 3 minute(s), 32 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 2 Заражено значений реестра: 8 Заражено параметров реестра: 7 Заражено папок: 0 Заражено файлов: 5 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\CLSID\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\services\del (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4af0d884-7bdd-4eef-9e46-f2857686cffc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{edeca471-1c3a-4a92-a8d4-ddcea925a744}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4af0d884-7bdd-4eef-9e46-f2857686cffc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{edeca471-1c3a-4a92-a8d4-ddcea925a744}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: G:\Program Files\TrafInsp\Agent\TrafInspAg_Tollbar.dll (Adware.BHO) -> Quarantined and deleted successfully. g:\WINDOWS\system32\Crypt.dll (Hacktool) -> Quarantined and deleted successfully. G:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully. g:\WINDOWS\system32\ovfsthahwtlhlifyqbkbgharefsqqucbubkskt.dat (Trojan.Agent) -> Quarantined and deleted successfully. g:\WINDOWS\system32\ovfsthbubsaqwbvwyupftyhhowyudawylhjlfy.dat (Trojan.Agent) -> Quarantined and deleted successfully.
thyrex Опубликовано 1 июня, 2009 Опубликовано 1 июня, 2009 Опачки, ovfsth... Или остатки или ... Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe
thyrex Опубликовано 1 июня, 2009 Опубликовано 1 июня, 2009 У меня мыслей пока больше нет. Может кто-нибудь еще подскажет.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти