Показано с 1 по 13 из 13.

Проблема с отображением скрытых файлов. (заявка № 38962)

  1. #1
    Junior Member Репутация
    Регистрация
    04.02.2009
    Сообщений
    7
    Вес репутации
    56

    Question Проблема с отображением скрытых файлов.

    Добрый день. Появилась проблема с отображением скрытых файлов. Стоит лицензионный дрвеб и постоянно проверял систему. Проверял сегодня и в безопасном режим после прочтение форума и правил создания темы - тоже все пусто.
    Так же, особое внимание на это обратил после того, как начали появляться ошибки у фаерволла с файлом CC.exe и FF.exe про недопустимую длину имени, так же в той же скрытой папке (Temporary Internet Files) есть файлы cc.rar и ff.rar. Нашел случайно через поиск файлов, потом и обнаружил, что не могу включить отображение скрытых файлов и папок, хотя это опция стояла у меня раньше по умолчанию.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\r120.bat','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\r120.bat','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\cvsdfw.exe','');
     QuarantineFile('C:\WINDOWS\system32\sysservice.exe','');
     QuarantineFile('C:\WINDOWS\system32\rttrwq.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\otrewe1.dll','');
     QuarantineFile('C:\WINDOWS\system32\mkfght0.dll','');
     QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
     DeleteFile('C:\WINDOWS\system32\mkfght0.dll');
     DeleteFile('C:\WINDOWS\system32\otrewe1.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\rttrwq.exe');
     DeleteFile('C:\WINDOWS\system32\sysservice.exe');
     DeleteFile('C:\WINDOWS\system32\cvsdfw.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('D:\r120.bat');
     DeleteFile('C:\r120.bat');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по http://virusinfo.info/upload_virus.php?tid=38962

    Сделать новые логи.

    Скорее всего, придется менять пароли от онлайн-игр, если играете.
    Да, и еще CC.exe и FF.exe добавьте через AVZ в карантин плюс
    CC.rar и FF.rar
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    04.02.2009
    Сообщений
    7
    Вес репутации
    56
    Так. Вот новые логи. Карантин тоже прикрепил, так как проверка делалась на переходе дней, получилось две папки, пришлось вручную архивировать с учетом требований. Файлы ff.exe и cc.exe нашлись сами после исполнения скрипта указанного выше)
    Насчет игр - сменю конечно. Но фаервол, несмотря на то, что выдавал ошибку с файлами, из памяти не выгружался и никого не пускал наружу =).
    Однако, поставить просмотр скрытых файлов по-прежнему не могу.
    Вложения Вложения
    Последний раз редактировалось Russhammy; 05.02.2009 в 00:50.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Ответ из ЛК:

    afmain1.dll1 - Trojan-GameThief.Win32.Magania.aunr,

    cc[1].exe1 - Trojan.Win32.Agent.bomr,

    cvsdfw.exe_ - Trojan-GameThief.Win32.Magania.auns,

    mkfght0.dll - Trojan-GameThief.Win32.Magania.aunu,

    otrewe1.dll - Trojan-GameThief.Win32.Magania.aunt

    Детектирование файлов будет добавлено в следующее обновление.

    Dc25.exe_ - Trojan.Win32.Pakes.mwe,

    ff.exe_ - Trojan-Dropper.Win32.Agent.aglt,

    ntos.exe1 - Trojan-Spy.Win32.Zbot.bmb,

    rttrwq.exe_ - Trojan.Win32.Agent.bokp

    Эти файлы определяются антивирусом. Обновите антивирусные базы.

    Добавлено через 14 минут

    выполнить:
    Код:
    begin
    ExecuteRepair(6);
     ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.
    Самое главное: отключить автозапуск флешек.

    Добавлено через 3 минуты

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\ff.exe');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nod1.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nod2.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nod3.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nod4.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nod5.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nod7.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nod8.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nodA.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nodB.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temp\nodD.tmp');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temporary Internet Files\Content.IE5\ICZDLJ6Z\cc[1].exe');
     DeleteFile('C:\Documents and Settings\Russhammy\Local Settings\Temporary Internet Files\Content.IE5\ICZDLJ6Z\ff[1].exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dc25.exe');
     DeleteFile('C:\WINDOWS\system32\afmain1.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи.
    Последний раз редактировалось PavelA; 05.02.2009 в 11:47. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    04.02.2009
    Сообщений
    7
    Вес репутации
    56
    Коды выполнил. Прикладываю новые логи. Автозапуск по вашему мануалу отключил используя пункты 1, 4.
    Базы антивируса обновляются каждый день. Кстати, когда АВЗ помещает часть вирусов в карантин, то ДрВеб тут же радостно рапортует о 2х найденных вирусах...
    П.С. Опция показывания скрытых файлов - включилась=)Спасибо огромное)
    Вложения Вложения
    Последний раз редактировалось Russhammy; 05.02.2009 в 14:43.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    А/вирус надо отключать при проверках AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    04.02.2009
    Сообщений
    7
    Вес репутации
    56
    Цитата Сообщение от PavelA Посмотреть сообщение
    А/вирус надо отключать при проверках AVZ.
    Согласен, ток его отключить можно выгрузкой из памяти через процессы.

    Теперь самое главное, как вылечить флешку? =) Я вроде отключил автозапуск, но все равно, страшно ее подрубать к компу)

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Не боись.
    Подключай и делай логи с подключенной флешкой. Там в логах будут данные для скрипта лечения.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    04.02.2009
    Сообщений
    7
    Вес репутации
    56
    Вот логи с подключенной флешкой.
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Не видно в логах зловредов с флешки...

  12. #11
    Junior Member Репутация
    Регистрация
    04.02.2009
    Сообщений
    7
    Вес репутации
    56
    Это хорошо. Я как подключил флешку - увидел там скрытых два файла. Что-тотам.com. Убил их обоих) на одного выругался дрвеб. Потом выгрузил дрвеб (у него в 5й версии появилась самозащита!), и сделал логи, которые выложил выше. Все вроде.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Значит там нечего искать

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 49
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\russhammy\local settings\temp\ff.exe - Trojan-Dropper.Win32.Agent.aglt
      2. c:\documents and settings\russhammy\local settings\temp\noda.tmp - Trojan.Win32.Agent.bomr
      3. c:\documents and settings\russhammy\local settings\temp\nodb.tmp - Trojan-Dropper.Win32.Agent.aglt
      4. c:\documents and settings\russhammy\local settings\temp\nodd.tmp - Trojan.Win32.Agent.bomr
      5. c:\documents and settings\russhammy\local settings\temp\nod1.tmp - Trojan-Dropper.Win32.Agent.aglt
      6. c:\documents and settings\russhammy\local settings\temp\nod2.tmp - Trojan.Win32.Pakes.mwe
      7. c:\documents and settings\russhammy\local settings\temp\nod3.tmp - Trojan.Win32.Pakes.mwe
      8. c:\documents and settings\russhammy\local settings\temp\nod4.tmp - Trojan-Dropper.Win32.Agent.aglt
      9. c:\documents and settings\russhammy\local settings\temp\nod5.tmp - Trojan.Win32.Pakes.mwe
      10. c:\documents and settings\russhammy\local settings\temp\nod7.tmp - Trojan.Win32.Pakes.mwe
      11. c:\documents and settings\russhammy\local settings\temp\nod8.tmp - Trojan-Dropper.Win32.Agent.aglt
      12. c:\documents and settings\russhammy\local settings\temporary internet files\content.ie5\iczdlj6z\cc[1].exe - Trojan.Win32.Agent.bomr
      13. c:\documents and settings\russhammy\local settings\temporary internet files\content.ie5\iczdlj6z\ff[1].exe - Trojan-Dropper.Win32.Agent.aglt
      14. c:\documents and settings\russhammy\local settings\temporary internet files\content.ie5\0hmxvcqf\cc[1].exe - Trojan.Win32.Agent.bomr
      15. c:\recycler\s-1-5-21-606747145-1390067357-839522115-1003\dc25.exe - Trojan.Win32.Pakes.mwe
      16. c:\windows\system32\afmain1.dll - Trojan-GameThief.Win32.Magania.aunr
      17. c:\windows\system32\cvsdfw.exe - Trojan-GameThief.Win32.Magania.auns
      18. c:\windows\system32\mkfght0.dll - Trojan-GameThief.Win32.Magania.aunu
      19. c:\windows\system32\otrewe1.dll - Trojan-GameThief.Win32.Magania.aunt
      20. c:\windows\system32\rttrwq.exe - Trojan.Win32.Agent.bokp
      21. \2009-02-04\bcqr00015.dta - Trojan-Spy.Win32.Zbot.bmb (DrWEB: Trojan.Packed.511)
      22. \2009-02-04\bcqr00016.dta - Trojan-Spy.Win32.Zbot.bmb (DrWEB: Trojan.Packed.511)
      23. \2009-02-04\bcqr00021.dta - Trojan-GameThief.Win32.Magania.aunr
      24. \2009-02-04\bcqr00022.dta - Trojan-GameThief.Win32.Magania.aunr

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Russhammy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 24.05.2011, 18:58
    2. Ответов: 6
      Последнее сообщение: 05.09.2009, 23:45
    3. Ответов: 6
      Последнее сообщение: 10.07.2009, 21:23
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 03:53
    5. Проблема с отображением скрытых файлов 2
      От Russhammy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.02.2009, 20:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00470 seconds with 20 queries