Показано с 1 по 17 из 17.

Из корзины не удаляются файлы (заявка № 16247)

  1. #1
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    177
    Вес репутации
    63

    Thumbs up Из корзины не удаляются файлы

    Проверка др вебом дала наличие только Trojan.Copyself в C:\WINDOWS\autorun.inf При визуальной проверке на наличие autorun ов в корзине обнаружились неудаляемые файлы. Прикрепляю логи
    Последний раз редактировалось Rogoff; 13.01.2009 в 09:09.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    интересует что написано в авторане, пришлите его
    также парочку неудолямых тоже прислать согласно приложения 2 правил.
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('c:\windows\system32\l3731.tmp','');
     DeleteFile('c:\windows\system32\l3731.tmp');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16247

  4. #3
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    177
    Вес репутации
    63
    Цитата Сообщение от drongo Посмотреть сообщение
    интересует что написано в авторане, пришлите его
    также парочку неудолямых тоже прислать согласно приложения 2 правил.
    авторан удален др вебом, поэтому не могу его прислать.

    Цитата Сообщение от drongo Посмотреть сообщение
    также парочку неудолямых тоже прислать согласно приложения 2 правил.
    Название неудаляемых брать такие же как в корзине?

    Карантин закачал

    Файл сохранён как 080111_024529_virus_47872ca95f0f2.zip
    Размер файла 134115
    MD5 6348de5dd36d334b6b3ee6e61f56e453

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    l3731.tmp - Trojan-PSW.Win32.LdPinch.eyv
    ntos.exe - Trojan-PSW.Win32.Zbot.dd
    Надо будет сменить все пароли

  6. #5
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    177
    Вес репутации
    63
    высылаю неудаляемые из корзины файлы + те (2 шт), которые появляются при удалении неудаляемых

    Файл сохранён как 080113_222506_virus_478ae4220254b.zip
    Размер файла 2389
    MD5 41fdac71729facfc5e4ee17a5094c088

    На диске С в корзине тоже те же файлы, только в 3 папках с названием из длинной последовательности букв и цифр.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нужно сделать повторные логи.
    В карантине указатель на
    [.ShellClassInfo]
    CLSID={645FF040-5081-101B-9F08-00AA002F954E}
    Если есть навык работы с реестром, то поискать в нем: 645FF040-5081-101B-9F08-00AA002F954E. Интересует, что в этом разделе реестра прописано.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    177
    Вес репутации
    63
    логи сделал, кроме этого в реестре найдено 7 записей с 645FF040-5081-101B-9F08-00AA002F954E

    Картинки реестра закачал на рапидшару:

    http://pic.rapidshare.ru/538554
    http://pic.rapidshare.ru/538555
    http://pic.rapidshare.ru/538557
    http://pic.rapidshare.ru/538558
    http://pic.rapidshare.ru/538560
    http://pic.rapidshare.ru/538561
    http://pic.rapidshare.ru/538563
    Последний раз редактировалось Rogoff; 13.01.2009 в 09:09.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В картинках только указатели на "Корзину", в общем все правильно.

    В логах зверей не видно. На всякий случай, проверь все флешки на наличие autorun.inf.

    Версию Доктора надо обновить до 4.44. Будет удалять влет этих зверей.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Плюс можем закрыть то, что Вам не нужно:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  11. #10
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    177
    Вес репутации
    63
    Цитата Сообщение от PavelA Посмотреть сообщение
    проверь все флешки на наличие autorun.inf.
    а может вообще автозапуск флэшек отключить? а то не всегда успевают шифт нажать и флэшка успевает открыться. А вообще хотелось бы уточнить момент когда происходит заражение с флэшки, в момент появления окошка автозапуска или уже после выбора действия с флэшкой?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Версию Доктора надо обновить до 4.44. Будет удалять влет этих зверей.
    т.е. Доктор 4.44 удалит эти неудаляемые файлы, а то я не понял что делать дальше.

    Добавлено через 5 минут

    Цитата Сообщение от rubin Посмотреть сообщение
    >> Службы: TermService (Службы терминалов)
    >> Службы: mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    Это все можно закрывать, не нужно

    Цитата Сообщение от rubin Посмотреть сообщение
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    автозапуск с CDROM можно отключить, а на этом компе нужен доступ к общим папкам
    Последний раз редактировалось Rogoff; 15.01.2008 в 04:05. Причина: Добавлено

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Rogoff Посмотреть сообщение
    а может вообще автозапуск флэшек отключить?
    Конечно. Посмотрите здесь.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Rogoff Посмотреть сообщение
    а может вообще автозапуск флэшек отключить? а то не всегда успевают шифт нажать и флэшка успевает открыться. А вообще хотелось бы уточнить момент когда происходит заражение с флэшки, в момент появления окошка автозапуска или уже после выбора действия с флэшкой?


    т.е. Доктор 4.44 удалит эти неудаляемые файлы, а то я не понял что делать дальше.
    По моему разумению, в момент появления окошка автозапуска, или чуть раньше, в момент отработки autorun.inf

    Доктор удалит те, вредные файлы, которые прописаны в autorun.inf

    Неудаляемые файлы это последствия. Основа это то, что запускается через autorun.inf
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    177
    Вес репутации
    63
    а как же избавиться от неудаляемых файлов в корзине?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Rogoff Посмотреть сообщение
    а как же избавиться от неудаляемых файлов в корзине?
    Скачайте Volkov Commander. Программа работает на ДОС-уровне и с ее помощью Вы можете очистить Вашу корзину.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Не надо волноваться за зря. У меня такие же файлы есть в "Корзине".
    Они нужны для правильного показа иконок "Корзины" + отображение возможных действий для нее.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    177
    Вес репутации
    63
    все, я спокоен по поводу этих файлов значит наше лечение на этом завершено?

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\l3731.tmp - Trojan-PSW.Win32.LdPinch.eyv (DrWEB: Trojan.PWS.LDPinch.1941)
      2. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.yn (DrWEB: Trojan.Proxy.2503)


  • Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2011, 15:12
    2. Ответов: 11
      Последнее сообщение: 04.08.2010, 19:10
    3. Неудаляемые файлы из корзины
      От Аделина в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.09.2009, 00:40
    4. Не удаляются файлы "из корзины"
      От TooRooToo в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 09:50
    5. Ответов: 0
      Последнее сообщение: 16.09.2008, 11:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00424 seconds with 19 queries