andrey_zaraza 0 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Добрый день. У меня на системе одновременно сожительствуют две этих папки.RECYCLER и RECYCLED. Проверка антивирусами типа нод и курейт доктор веб ничего не выявила - но эпизодически в системном реестре находится RECYCLER и RECYCLED. Эпизодически при проверке нодом появляется следующее сообщение 27.05.2009 21:31:25 Защита в режиме реального времени файл L:\System Volume Information\_restore{F1B9BED6-C0BE-4191-A108-0B6C41306096}\RP259\A0082326.com Win32/AutoRun.Agent.LZ червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: G:\WINDOWS\System32\svchost.exe.Хотя в системе все чисто - проверялось уже всем подряд во всех режимах - в том числе и в безопасном - и с загрузочного диска.... Цитата Ссылка на сообщение Поделиться на другие сайты
dan-1 96 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 сделайте как сказанно тут и вам помогут Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Однозначного ответа дать невозможно. RECYCLER - это может быть корзина на NTFS-разделах RECYCLED - это может быть корзина на FAT-разделах Однако в этих папках (лже-корзинах) могут маскироваться зловреды. Если такие папки на флэшке - тем более. На флэшке их быть не должно. Как и одновременно наличие обеих таких папок на одном диске L:\System Volume Information\_restore{F1B9BED6-C0BE-4191-A108-0B6C41306096}\RP259\A0082326.com - это зараженный файл в резервном хранилище системы. Выполните правила оказания помощи (ссылка в моей подписи). Проверим чистоту системы Цитата Ссылка на сообщение Поделиться на другие сайты
andrey_zaraza 0 Опубликовано 30 мая, 2009 Автор Share Опубликовано 30 мая, 2009 (изменено) Доброй ночи. Выкладываю логи проверки. Кстати обе папки находятся на одном разделе и в одном диске рядышком - а при попытке стереть - появляются при следующей перезагрузке снова RECYCLER и RECYCLED virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 30 мая, 2009 пользователем andrey_zaraza Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 мая, 2009 Share Опубликовано 30 мая, 2009 Ошибаетесь G:\Documents and Settings\АндрейФ\Рабочий стол\Торренты 2009\anytv_setup.exe >>>>> Worm.Win32.AutoRun.ahrp успешно удален G:\Documents and Settings\АндрейФ\Рабочий стол\Св обновления\2\патч терминалки в ХР проф\TerminalserverNoRestrPatch-1-2Pre.zip - этот файл Вам известен? В нем находит Trojan.Win32.Agent.jh Ваши DNS 85.255.112.128,85.255.112.142 ? Ваш провайдер? org-name: UkrTeleGroup Ltd.address: UkrTeleGroup Ltd. Mechnikova 58/5 65029 Odessa Ukraine Если нет, то пофиксить в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF0D884-7BDD-4EEF-9E46-F2857686CFFC}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDECA471-1C3A-4A92-A8D4-DDCEA925A744}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить) Сделать новые логи. Логи AVZ делайте полиморфной версией (ссылки в моей подписи) 1 Цитата Ссылка на сообщение Поделиться на другие сайты
andrey_zaraza 0 Опубликовано 31 мая, 2009 Автор Share Опубликовано 31 мая, 2009 (изменено) Доброе утро. ПРоверил все еще раз.Новые логи.ТЕперь наконец-то при проверке avz антивирусник стал ругаться на один архив - до этого он его ваабще не замечал. По поводу рекомендаций O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF0D884-7BDD-4EEF-9E46-F2857686CFFC}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDECA471-1C3A-4A92-A8D4-DDCEA925A744}: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142 удалил все эти ветки так как к Украине никакого отношения не имею.... hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 31 мая, 2009 пользователем andrey_zaraza Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2009 Share Опубликовано 31 мая, 2009 Что теперь с Вашими корзинами? Удалять нужно только одну из папок, в соответствии с тем, что я писал о них раньше. Пофикчить в HiJack O2 - BHO: (no name) - {E7931FEA-62DF-435E-BD35-CF0C3EF52EAD} - (no file) Цитата Ссылка на сообщение Поделиться на другие сайты
andrey_zaraza 0 Опубликовано 31 мая, 2009 Автор Share Опубликовано 31 мая, 2009 (изменено) перед перезагрузкой лишние корзины удалил, систему перезагрузил - они снова появились с датой создания - текущая дата и время. При этом на одном диске опять присутствуют одновременно обе папки при этом папка Recycled - как корзина со значком корзины а папка Recycler - как простая папка - но если туда войти - то там будет ссылка на корзину.... Изменено 31 мая, 2009 пользователем andrey_zaraza Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 31 мая, 2009 Share Опубликовано 31 мая, 2009 Вы единственный пользователь на ПК? Цитата Ссылка на сообщение Поделиться на другие сайты
andrey_zaraza 0 Опубликовано 31 мая, 2009 Автор Share Опубликовано 31 мая, 2009 Вы единственный пользователь на ПК? поднята терминалка еще на одного пользователя - но он здесь бывает редко. Чаще работаем через RADMIN Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 июня, 2009 Share Опубликовано 1 июня, 2009 Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Цитата Ссылка на сообщение Поделиться на другие сайты
andrey_zaraza 0 Опубликовано 1 июня, 2009 Автор Share Опубликовано 1 июня, 2009 Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Malwarebytes' Anti-Malware 1.37 Версия базы данных: 2207 Windows 5.1.2600 Service Pack 2 01.06.2009 19:38:07 mbam-log-2009-06-01 (19-38-07).txt Тип проверки: Быстрая Проверено объектов: 97515 Прошло времени: 3 minute(s), 32 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 2 Заражено значений реестра: 8 Заражено параметров реестра: 7 Заражено папок: 0 Заражено файлов: 5 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\CLSID\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\services\del (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4af0d884-7bdd-4eef-9e46-f2857686cffc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{edeca471-1c3a-4a92-a8d4-ddcea925a744}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4af0d884-7bdd-4eef-9e46-f2857686cffc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{edeca471-1c3a-4a92-a8d4-ddcea925a744}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.128,85.255.112.142 -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: G:\Program Files\TrafInsp\Agent\TrafInspAg_Tollbar.dll (Adware.BHO) -> Quarantined and deleted successfully. g:\WINDOWS\system32\Crypt.dll (Hacktool) -> Quarantined and deleted successfully. G:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully. g:\WINDOWS\system32\ovfsthahwtlhlifyqbkbgharefsqqucbubkskt.dat (Trojan.Agent) -> Quarantined and deleted successfully. g:\WINDOWS\system32\ovfsthbubsaqwbvwyupftyhhowyudawylhjlfy.dat (Trojan.Agent) -> Quarantined and deleted successfully. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 июня, 2009 Share Опубликовано 1 июня, 2009 Опачки, ovfsth... Или остатки или ... Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Цитата Ссылка на сообщение Поделиться на другие сайты
andrey_zaraza 0 Опубликовано 1 июня, 2009 Автор Share Опубликовано 1 июня, 2009 Лог GMER GMER.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 июня, 2009 Share Опубликовано 1 июня, 2009 У меня мыслей пока больше нет. Может кто-нибудь еще подскажет. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.