файлы в папке recycler

[wolfich]

Доброго времени, день назад вместо удаления autorun.inf с принесенной флешки случайно нажал enter... после этого стали появляться в корнях дисков корзины (до этого момента и сейчас отключенные) с файлами autorun.inf и info2. В папке windows/system32 появились файлы amvo.exe и amvo0.dll, которые сразу же были убиты. Корзины тоже убиваю постоянно, но они постепенно появляются - не сразу. Сейчас в корне диска d появился файл msvcp71.dll, размером 503 808 байт.

Прошу помощи - сам не справился(
ps - антивирус avast

[V_Bond]

активного заражения не видно ....
пришлите подозрительные файлы согласно приложения 3 правил ...

[wolfich]

спасибо на доброй фразе, похоже AVZ справился и сам) - судя по логам был кто-то-

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EA55C->AE64DC2E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (805A31EA->AE64D20C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (25) перехвачена (80577F46->AE64D84E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (806222D2->AE64E3DC), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePort (2E) перехвачена (805A3D06->AE64D0FA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (805A9FE4->AE64EC94), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C37DE->AE64DE14), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (805CFA78->AE64CCCA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (80622762->AE64E05, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (80622932->AE64E20, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (44) перехвачена (805BCA86->AE64CB7C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (61) перехвачена (80582F22->AE64E934), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (80579044->AE64DA5, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805C9EBA->AE64C8C6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (805A9008->AE64D6F2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805CA146->AE64CA24), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRenameKey (C0) перехвачена (80621CF8->AE64E792), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (D2) перехвачена (805A297E->AE64D3CE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (F0) перехвачена (8060DDA8->AE64EAD4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80620992->AE64E5A2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtShutdownSystem (F9) перехвачена (80611012->AE64D580), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (FF) перехвачена (8061613C->AE64D5E6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805D13E4->AE64CFC4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (805D15DE->AE64CE92), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 24, восстановлено: 24

[V_Bond]

это перехваты от COMODO .... и авз никого не трогал ...

[wolfich]

тада странно.... буду продолжать наблюдение)

[wolfich]

результаты наблюдения не порадовали - в очередной раз появилась папка корзина с файлами desktop.ini и info2, а также почти в каждой подпапке папки local settings лежат файла desktop.ini с различным содержанием. к примеру с таким содержанием -

[.ShellClassInfo]
[email protected],-21782
[LocalizedFileNames]
Remote Assistance.lnk=@%systemroot%\system32\rcbdyctl.dll ,-152
Internet [email protected],-11001
Outlook [email protected],-11004

[drongo]

rcbdyctl.dll- от удалённого помощника виндоус, как видно из логов он у вас включён
надо это всё отключить и посмотреть на поведение

>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[wolfich]

службы то я отключу сейчас, а desktop-ы просто все убить - или они могут понадобиться при поиске врага?

Добавлено через 41 минуту

все файлы desktop.ini я поубивал, однако при перезагрузке их штук 10 появляется заново(

также в папке documents and settings в нескольких метах лежат файлы:
NTUSER.bak
NTUSER.DAT
ntuser.ini
NTUSER.DAT.bak_jv16pt
ntuser.dat.LOG
NTUSER.DAT.tmp.LOG
NTUSER.tmp.LOG

[V_Bond]

ваш враг,не настороенная система с кучей открытых уязвимостей ....

[wolfich]

спасибо еще раз, буду бороться!