-
Junior Member
- Вес репутации
- 53
Обнаружил подозрительные папки на диске С:
Прошу помощи и совета
(какой оригинальный) на компьютере установлен ХР про сервис пак3, антивирус Ikarus virus.utilities, в антивире есть встроенный проводник, он видит папки, которые не видны даже тотал командером c:\RECYCLER, в которой две папки S-1-5-...и т.д., c:\WIN содержит папку DOWS, в папке c:\Tender лежит папка InterPol, еще c:\System Volume Information, но она в отличие от предыдущих трех не беспокоит. Очевидных проблем, пока не возникло, но я на днях форматнул другой свой комп (на нем RECYCLER и WIN тоже присутствовали) из-за того, что он постоянно стал загружен на 100%, на том компе антивири заразы не видели. Поэтому решил, что лучше просить совета у экспертов: что с папками делать и как?
Последний раз редактировалось Antoshka86rus; 10.11.2009 в 23:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
c:\RECYCLER - это корзина
S-1-5-...привязка к профилю пользователя, у каждого юзера своя такая папка.
c:\WIN содержит папку DOWS - так они пустые или нет?
c:\Tender - вы не создавали? Эта папка не относится к системным 
c:\System Volume Information - этот системная папка где хранятся восставноления системы.
Вам известен файл D:\Setup.exe? Если нет, то:
Отключите антивирус и фаервол. В AVZ выполните скрипт:
Код:
begin
QuarantineFile('D:\Setup.exe','');
end.
Карантин пришлите по правилам (пукт 3 приложения).
-
-
Junior Member
- Вес репутации
- 53
c:\WIN\DOWS\desKtOp.lnl - не создавал
c:\Tender\InterPol\DeSKtOp.lnl - не создавал
\NkeY.exe - не создавал
В папке RECYCLER смутил регистр названия, так и должно быть?
Скрипт выполнил,- карантин пуст
-
Отключите антивирус и фаервол. В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('D:\Setup.exe','');
QuarantineFile('c:\Tender\InterPol\DeSKtOp.InI','');
QuarantineFile('c:\WIN\DOWS\desKtOp.lnl','');
QuarantineFile('c:\Tender\InterPol\NkeY.exe','');
BC_ImportQuarantineList;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл карантина quarantine.zip из папки AVZ закачайте по ссылке вверху темы.
Сделайте такой лог и прикрепите отчет к сообщению. http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 53
Выполнил.После выполнения скрипта и перезагрузки было обнаружено новое устройство, винда просилась на поискать дрова, но я был непреклонен(canceled) в диспетчере устройств \другиеустройства\неизвестное устройство (код экземпляра устройства ROOT\LEGACY_UZEZNZA5\0000) не могу понять, что это, на ноуте доп. оборудования нет
Попытался загрузить quarantine.zip - "Ошибка загрузки. Данный файл уже был загружен"
-
Удалить в MBAM
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cf272101-7f6e-4cf2-9453-b4c5d2fc32c0} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cf272101-7f6e-4cf2-9453-b4c5d2fc32c0} (Adware.FieryAds) -> No action taken.
Заражено папок:
C:\WIN\DOWS (Backdoor.IRCBot) -> No action taken.
Заражено файлов:
C:\WIN\DOWS\desKtOp.InI (Backdoor.IRCBot) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Готово! C:\WIN осталась, но опустела Спасибо БОЛЬШОЕ!
А что делать с C:\Tender\InterPol\... ? там по прежнему два файла:desKtOp.lnl и NkeY.exe
И по поводу обнаружения нового устройства?! Не является ли это следствием деятельности вируа? Можно ли разрешить поиск драйверов?
-
Antoshka86rus, не могу дать заключение без карантина. Попробуйте закачать еще раз(файл переименовать попробуйте). Новое устройство, которое появилось, просто удалите.
-
-
Сообщение от
Antoshka86rus
И по поводу обнаружения нового устройства?!
Неизвестное устройство удалите в Диспетчере устройств
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Устройство удлилось и больше не беспокоит, спасибо. Карантин отправить не могу- та же ошибка. Попробовал переименованный- без вариантов( Залил его на VirusTotal, пишет, что файл уже проанализирован, при этом все строки формы анализа пустые, странно все это...
-
Давайте повторим логи AVZ и HiJackThis по правилам раздел Диагностика пункты 1-3
-
-
Junior Member
- Вес репутации
- 53
Вот, пожалуйста!
Как оказалось карантин не заливался по той простой причине, что он пуст(. Кинул в него два лога- закачан. Получается AVZ не видит D:\Setup.exe, C:\Tender\InterPol\... и C:\WIN\DOWS\..., а МВАМ видит только последнюю!? ... или видит, но не заподозрил!?
Последний раз редактировалось Antoshka86rus; 13.11.2009 в 23:57.
-
В HiJackThis пофиксите:
Код:
O4 - S-1-5-18 Startup: is-QI093.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: is-QI093.lnk = ? (User 'Default user')
O4 - Startup: is-QI093.lnk = ?
Закройте все защитные приложения, в AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Setup.exe','');
QuarantineFile('c:\Tender\InterPol\DeSKtOp.InI','');
QuarantineFile('c:\WIN\DOWS\desKtOp.lnl','');
QuarantineFile('c:\Tender\InterPol\NkeY.exe','');
DeleteFile('D:\Setup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zzzHPSETUP');
DeleteFileMask('C:\WIN\DOWS\','*.*',true);
DeleteFileMask('C:\Tender\InterPol\','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_QrFile('D:\Setup.exe');
BC_QrFile('c:\Tender\InterPol\DeSKtOp.InI');
BC_QrFile('c:\Tender\InterPol\NkeY.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин (если он будет не пустой) по правилам раздела по ссылке вверху темы.
Папки можете удалить вручную c:\Tender и C:\WIN\DOWS\
Проблема решена?
-
-
Junior Member
- Вес репутации
- 53
Закачал карантин по ссылке. К сожалению папок не видно по прежнему, но посмотрел через Ikarus- файлов не видно, остались только сами папки. Полагаю проблема решена, но хотелось бы и папки вытереть.
Еще в Hijackthis увидел следующее: C:\Игры\NevoDRM\NevoDRM.exe- такой папки не видел ни разу, даже через Ikarus. Есть ли повод для волнения?
Последний раз редактировалось Antoshka86rus; 14.11.2009 в 09:32.
-
Давайте удалим совсем папки таким скриптом
Код:
begin
DeleteDirectory('c:\Tender\InterPol');
DeleteDirectory('c:\Tender\');
DeleteDirectory('C:\WIN\DOWS\');
DeleteDirectory('C:\WIN\');
end.
Adobe Acrobat 7.0 деинсталлируйте, поставьте последнюю версию.
NevoDRM.exe - это от игрушки файл. Не представляет опасности.
-
-
Junior Member
- Вес репутации
- 53
Выполнил. Папки, к сожалению там же (((
-
Скачайте IceSword http://virusinfo.info/showthread.php?t=17228
примените удаление как описано по ссылке, только не к файлу, а к папке. Только аккуратненько удаляйте
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 18
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
