Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Нет доступа к ряду папок, вирус (заявка № 94397)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49

    Exclamation Нет доступа к ряду папок, вирус

    Заблокировался доступ через "Проводник" к папкам на диске "С": Documents and Settings, All Users и Default User (в подпапке "Пользователи"), local settings, Application Data, Cookies, Net hood, Print hood, Sent to, Recent и т.д. В "Проводнике" у всех этих папок изменилась иконка (теперь выглядит как Ярлык на папку). При попытке открыть выскакивает окно "Отказано в доступе".

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49

    Нет доступа к ряду папок, вирус

    Потребный лог сделан.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ:
    Код:
    procedure WhatService(AServiceName : string);
    var
    dllname, servicekey : string;
    begin
    servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
    RegKeyResetSecurity( 'HKLM', servicekey);
    RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
    AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
    AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
    AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
    dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
    AddToLog('ServiceDll: '+dllname);
    QuarantineFile(dllname,'');
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
    WhatService('xdsozxf');
    BC_ImportAll;
    BC_Activate;
    SaveLog(GetAVZDirectory+'xdsozxf.log');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Файл xdsozxf.log из папки AVZ приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49
    Nikkollo, спасибо! Попробую сейчас выполнить скрипты.

    Добавлено через 20 минут

    thyrex,
    Combofix скачал. Делать лог надо после выполнения скриптов AVZ (от Nikkollo)???
    или ДО???
    Последний раз редактировалось everzh; 30.12.2010 в 00:28. Причина: Добавлено

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    После, это же всё по порядку идёт, так и выполняйте.

  9. #8
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49
    Скрипты AVZ выполнены. quarantine.zip загружен по красной ссылке.

    Лог xdsozxf прилагаю.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\Windows\system32\gcawb.dll');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xdsozxf');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvcReg('xdsozxf');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - сделайте лог Combofix

  11. #10
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49
    Скрипт AVZ выполнен. Лог от ComboFix прикладываю.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    NetSvc::
    xdsozxf
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    -Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Поставте все последние обновления системы Windows - тут

  13. #12
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49
    Всех с наступившим новым годом!!!!!!!

    После проделанных операций новый лог ComboFix сделан. Прикладываю.


    Не совсем понятно как профиксить в HijackThis указанные 4 строчки.

    По поводу обновлений. На ноуте установлена Виста. Все обновы по ней от MS присутствуют (исключая 15 последних для MS Office).

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Удалите ComboFix

    что с проблемой?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от everzh Посмотреть сообщение
    Не совсем понятно как профиксить в HijackThis указанные 4 строчки.
    Это означает, что вы должно запустить сканирование HijackThis потом поставить галочки у этих строк и нажать Fix checked

  16. #15
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49
    ComboFix успешно удалился.

    По статусу проблемы:

    Насколько я понял один зловред по крайней мере был удален (скрытый процесс xdsozxf файл gcawb.dll - в проводнике был не виден).

    По поводу доступа к папкам - похоже что на самого напал тупняк (пережиток от XP). К примеру папка Documents a nd Settings в Viste не существует. Это действительно линк.

    Позавчера проверил систему средством от Dr. Weber "CureIt". Получил 2 раза синий экран смерти (в чем причина???) После перезагрузок проверка прошла. Под подозрение попал файл office_enterprise_2007_rus.exe (было переименовано расширение на .#xe). На VirusTotalе больше половины антивирусов детектят файл как вирус или Tool. Что с ним делать пока не знаю.

    По HijackThis все равно не понимаю где поставить галочки, что нужно профиксить. Привожу screenshot по скану HijackThis. В какие строчки нужно поставить галочки?

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Цитата Сообщение от everzh Посмотреть сообщение
    В какие строчки нужно поставить галочки?
    рядом с R0, например, есть квадратик слева, в него ткните мышкой, получите галочку
    Ссылку на анализ virustotal дайте посмотреть.
    Paula rhei.
    Поддержать проект можно тут

  18. #17
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49

  19. #18
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49
    Доброй ночи.

    В конце концов строчки в HijackThis профиксил. 4-х строчек идентичных с рекомендованными при запуске HijackThis скана я не нашел. Посему профиксил все строчки с кодами R0 и R1 (всего 6 шт.). В результате слетела стартовая страница в IE, восстановил.

    Проблем по работе системы не наблюдается.

    Остался вопрос Что делать с файлом office_enterprise_2007_rus.exe (расширение изменено на .#xe). Вирус это или нет??? Линк на результаты скана этого файла в VirusTotal приведен в моем предыдущем письме.

    Дополнительно:

    AVZ при запуске постоянно ругается на 2 блютуthные библиотеки:btmmhook.dll и btkeyind.dll. Проверял файлы чистые.


    В завершение огромное спасибо всем кто помогал в лечении компа.
    Всем творческих успехов в наступившем году.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от everzh Посмотреть сообщение
    Остался вопрос Что делать с файлом office_enterprise_2007_rus.exe (расширение изменено на .#xe). Вирус это или нет??? Линк на результаты скана этого файла в VirusTotal приведен в моем предыдущем письме.
    Похоже это хактул - не вирус, можете ещё загрузить этот файл на проверку, как написано в теме http://virusinfo.info/showthread.php?t=37678
    Последний раз редактировалось light59; 05.01.2011 в 12:41.

  21. #20
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    49
    Загрузил файл на проверку

    Файл сохранён как 110106_010702_virus_4d24eb8610c6b.zip

    Размер файла 11638

    MD5 b7460f917c79d1492cf6b762e619ec2c

  • Уважаемый(ая) everzh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 21.07.2011, 13:27
    2. Вирус создаёт ярлыки вместо папок
      От ivrmx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.07.2011, 23:17
    3. Вирус создает кучу ненужных папок!
      От Jeweller787 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.10.2010, 13:45
    4. Ответов: 6
      Последнее сообщение: 18.04.2010, 19:15
    5. Ответов: 21
      Последнее сообщение: 24.07.2009, 17:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01259 seconds with 19 queries