-
Junior Member
- Вес репутации
- 52
не удается выставить в настройках папки"видеть скрытые файлы"
На сколько я знаю, это явный признак наличия вируса на компе. При этом при работе с утилитой CureIt при выборе папок для сканирования появляются скрытые папки с названием "Akon" и еще какая то в которых точно есть вирусы (так как сталкивался с этим уже раньше) но при проверке этих папок утилита выдает информацию что они чистые... в общем прикладываю файлы.
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
И еще карантин после прогона утилитой AVZ
-
- Выполните скрипт в AVZ
Код:
begin
RegKeyParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','ShowSuperHidden','REG_DWORD','00000001');
RegKeyParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','SuperHidden','REG_DWORD','00000001');
RegKeyParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','Hidden','REG_DWORD','00000001');
RegKeyParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL','CheckedValue','REG_DWORD','00000001');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки:
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
После обновления:
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Здравствуйте. Так как компьютер удален от интернета, то выполнение ваших инструкций заняло некоторое время. Скрипт выполнил, также обновил сервис пак до третьего. Интернет эксплорер 8ой тоже поставил и снес акробат старый и установил 9ый. После выполнения скрипта скрытые папки стало видно, но при этом вирусы в папках Akon и Dream (в этих папках были папки recycler а в них файлы Desktop.InI)не нашлись, поэтому я их просто удалил. После перезагрузки компа они не появились. Заново прогнал скрипты, логи прилагаю.
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G6789085}');
DelCLSID('{23MAD6M9-4MAD-76AD-JIM3-73OP5G7781022}');
QuarantineFile('C:\DREAM\PIANO\xor.exe','');
QuarantineFile('c:\AKON\BYONC\AKON.exe','');
DeleteFile('c:\AKON\BYONC\AKON.exe');
DeleteFile('C:\DREAM\PIANO\xor.exe');
DeleteFileMask('c:\AKON', '*.*', true);
DeleteDirectory('c:\AKON');
DeleteFileMask('C:\DREAM', '*.*', true);
DeleteDirectory('C:\DREAMN');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 52
Скрипты выполнил, карантин прилагаю. При попытке запустить гмер выдается сообщение об ошибке и прложение закрывается.
-
Сообщение от
Kimver
При попытке запустить гмер выдается сообщение об ошибке и прложение закрывается.
Попробуйте так:
Закройте/выгрузите все программы
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- USB-модем, блютус и т.п.;
Пробуйте делать лог
-
-
если Gmer не получится сделать, сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 52
К сожалению, приведенные выше рекомендации не помогли. Gmer выдает ошибку даже при запуске из безопасного режима. Код ошибки:
AppName: j21trygf.exeAppVer: 1.0.15.15281 ModName: j21trygf.exe
ModVer: 1.0.15.15281 Offset: 0005c887
Сделал скан Combofix. В ходе его работы было сообщение об ошибке приложения Pev.cfxxe, но процесс дошел до конца. Лог прилагаю.
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\docume~1\Laba\LOCALS~1\Temp\pxtdrpob.sys
Driver::
pxtdrpob
NetSvc::
prmwves
aruzb
logojkm
ymnbr
aoyzqb
sbvthh
anxakv
usfeavreu
axqhcy
ppczshzib
mxdvf
pekqr
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил. Первый раз система перезагрузилась три раза подряд и лог не сохранился. Прогнал скрипт еще раз, результат: одна перезагрузка и сохраненный лог. Оба раза при работе Combofix появлялось сообщение об ошибке PEV.cfxxe.
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
- Удалите ComboFix
что с проблемой?
-
-
Junior Member
- Вес репутации
- 52
ComboFix удалил. Скрытые файлы и папки теперь отображаются. Еще, на всякий случай, прогнал скрипты avz и hijack, логи прилагаю. Спасибо.
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
Восстановление системы: включено
- отключите
- Сделайте лог Gmer
если не получится снова лог Combofix
-
-
Junior Member
- Вес репутации
- 52
Отключил восстановление, прогнать Gmer-ом опять не получилось. Лог от Combofix прилагаю, а также все остальные логи.
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
1.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
pekqr
NetSvc::
pekqr
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\pxtdrpow.sys','');
QuarantineFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\mbr.sys','');
DeleteFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\pxtdrpow.sys');
DeleteFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\mbr.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 52
Все сделал. После выполнения скрипта в avz компьютер перезагрузился дважды. Вот логи.
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
pekqr
NetSvc::
pekqr
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5368:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 52
Последний раз редактировалось Kimver; 31.10.2010 в 22:58.
-
- Удалите ComboFix
что с проблемой?
-