Здравствуйте, недавно понёс свой жесткий диск к другу и переустановил ему комп через мой hdd, после чего некоторые папки стали открываться как .ехе. видом ничем от папок не отличаются но в свойствах видно что это приложения с размером в 721 кб, также не могу посмотреть скрытые папки, настройки папок просто не применяются. AVZ видит всё, находит какой то вирус Trojan.Win32.Agent2.cyoz, который вроде создаёт файлы sdata.bak, для удаления которых требует перезагрузку. После перезагрузки ничего не меняется, повторные проверки дают всё те же результаты. При входе в безопасный режим выводит BSOD..Просьба помочь с этим недугом..
Последний раз редактировалось Nikkollo; 07.04.2012 в 18:25.
Причина: карантин убрал
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) blinkee, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
StopService('kfsmbpx');
QuarantineFile('C:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP2\A0013446.dll','');
QuarantineFile('C:\Documents and Settings\Home\Шаблоны\Brengkolang.com','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\srtserv\Arhievement.exe','');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP2\A0013446.dll');
DeleteService('kfsmbpx');
BC_ServiceKill('lfltmh');
BC_ServiceKill('nxxhxuw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Обязательно установите все новые обновления для Windows, у вас Kido.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Спасибо, теперь я могу видеть скрытые файлы, ничего более не изменилось, АВЗ находит всё те же вирусы, никуда они не ушли, всё выполнил как написано...На компе очень важная информация, не хотел бы чтобы чтото удалилось...((карантин отправил. Забыл дополнить, что при установки любого дистрибутива от майкрософт и игр, выходит ошибка установки во время её процесса..часты при включении программ выходит ошибка...
Последний раз редактировалось Nikkollo; 07.04.2012 в 20:40.
Причина: карантин убрал
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\all users.windows\application data\srtserv\arhievement.exe');
QuarantineFile('c:\documents and settings\all users.windows\application data\srtserv\arhievement.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\srtserv\sdata.dll','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\srtserv\sdata.dll');
DeleteFile('c:\documents and settings\all users.windows\application data\srtserv\arhievement.exe');
QuarantineFileF('c:\documents and settings\all users.windows\application data\srtserv\','*', true,'',0 ,0);
DeleteFileMask('c:\documents and settings\all users.windows\application data\srtserv\', '*', true);
DeleteDirectory('c:\documents and settings\all users.windows\application data\srtserv\',' ');
ExecuteRepair(10);
ExecuteWizard('TSW',2,3,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log (другие файлы прикреплять не надо, а virusinfo_cure.zip - это карантин !)
При переходе выдаёт ошибку 404, на сайте нет такого контента, этот компьютер единственный в сети, дома стоит. Не вылечить? А какой вред этот вирус наносит?
Спасибо, сделал повторные логи, вроде нет ничего подозрительного после скана авз.. Но вот вопрос, вирус скрыл мои папки и сделал .ехе пути к ним, т.е. я могу видеть папки(когда включаю соотвествующий пункт в настройках папок) но также у меня есть .ехе копии папок, с такими же названиями, только в виде приложений, стоит ли мне удалить эти .ехе копии(каждая по 721 кб)?
Также, не получается устанавливать различный дистрибудив от майкрософт и игры, это также из-за вируса?
Прикрепил все нужные файлы, посмотрел лог от mbam, конечно прога полезная, но не для новичков, она предлагала мои крэки и трейнеры удалить
Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (Trojan.Agent) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
Обнаруженные папки: 4
C:\Documents and Settings\Home\Local Settings\Application Data\Bron.tok-12-20 (Worm.Brontok) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-11 (Worm.Brontok) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-12 (Worm.Brontok) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-16 (Worm.Brontok) -> Действие не было предпринято.
Обнаруженные файлы: 49
C:\Documents and Settings\Default User.WINDOWS\install.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP2\A0013454.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP3\A0013602.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\System Volume Information\_restore{2B00CB67-6B14-4054-8B91-5A1072408A84}\RP3\A0013626.exe (Trojan.Dropper) -> Действие не было предпринято.
+ если вам не знакомы, то также удалите
Код:
E:\;vbhil;uh.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\AMD.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Anonymous7.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Documents and Settings.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\driversx86.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Games (part 2).exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Learning Square.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\PerfLogs.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\sampl_[tfile.ru].exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Windows.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Windows7.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\АЛИ.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\driversx86\Graphics_B_x86_1001\S3\3\s3hlputl.exe (Backdoor.IRCBot.FB) -> Действие не было предпринято.
F:\Arhievement.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\Distributiv.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\Games.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\Install games.exe (Trojan.Dropper) -> Действие не было предпринято.
F:\АЛИ.exe (Trojan.Dropper) -> Действие не было предпринято.
Сообщение от blinkee
с такими же названиями, только в виде приложений, стоит ли мне удалить эти .ехе копии(каждая по 721 кб)?
Выполнил сканы, авз более никаких угроз не видет, что радует)Несколько раз делал сканирование в МВАМ(1.5 часа за полный скан берёт), постаянно находит вирусы, удалил всё как нужно, теперь делаю последний скан, но уже только на дисках E: и F:, так как на других дисках вирусов не находит.. Диск G: это ещё один раздел с системой, всего сейчас у меня 5 разделов: С и D это родные с этого компа, а E, F, G это мой жесткий диск, вытащил со своего второго компа, который пока по почте идёт, тут у меня две системы, вин7 и вин ХР, раздел F только для "не системных" файлов, но пришлось и на E, G чтото скопировать, так как места мало...
Сейчас делаю последний скан а МВАМ, и пришлю позже, надеюсь ничего существенного не найдёт..хочу сказать большое спасибо всем кто мне помог, буду советовать всем этот сайт)))
Последний вопрос: По прежнему программы вылетают сами по себе, и ошибка сrc при установки любого самораспаковывающегося приложения, вес которого более 1Гб...
Update
Прикрепил лог МВАМ
Update 2
Никак не могу сделать папки, с которых вирус сделал .ехе, не скрытыми, там в свойствах стоит галочка на "только чтение" а снять галочку со "скрытый" нельзя, она попросту серая, если убрать аттрибут чтения, то после этог если повторно посмотреть на аттрибуты, то снова стоит галочка на "только чтение" ((
Последний раз редактировалось blinkee; 09.04.2012 в 20:27.
Никак не могу сделать папки, с которых вирус сделал .ехе, не скрытыми, там в свойствах стоит галочка на "только чтение" а снять галочку со "скрытый" нельзя, она попросту серая
Попробуйте изменить атрибуты с помощью Total Commander
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Попробуйте изменить атрибуты с помощью Total Commander
Никак не удаётся снять аттрибут "только чтение", папка перестаёт быть скрытой но аттрибут только чтение всеравно никак не снять, даже через Total Commander..
Нет, вроде нормально функционирет.. Но я заметил ну очень странную особенность, когда я печатаю и идёт сканирование авз, если я ненадолго перестаю печать, но оставляю строку ввода, через некоторое время само по себе начинается писатся "еуые" в многократном количистве, например так:
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
У меня аж муражки по коже
П.с. авз угроз не обнаруживает)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: