не удается выставить в настройках папки"видеть скрытые файлы"

[Kimver]

На сколько я знаю, это явный признак наличия вируса на компе. При этом при работе с утилитой CureIt при выборе папок для сканирования появляются скрытые папки с названием "Akon" и еще какая то в которых точно есть вирусы (так как сталкивался с этим уже раньше) но при проверке этих папок утилита выдает информацию что они чистые... в общем прикладываю файлы.

[Kimver]

И еще карантин после прогона утилитой AVZ

[polword]

- Выполните скрипт в AVZ

Код:

begin
 RegKeyParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','ShowSuperHidden','REG_DWORD','00000001');
 RegKeyParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','SuperHidden','REG_DWORD','00000001');
 RegKeyParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','Hidden','REG_DWORD','00000001');
 RegKeyParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL','CheckedValue','REG_DWORD','00000001');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

После перезагрузки:
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.

После обновления:
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[Kimver]

Здравствуйте. Так как компьютер удален от интернета, то выполнение ваших инструкций заняло некоторое время. Скрипт выполнил, также обновил сервис пак до третьего. Интернет эксплорер 8ой тоже поставил и снес акробат старый и установил 9ый. После выполнения скрипта скрытые папки стало видно, но при этом вирусы в папках Akon и Dream (в этих папках были папки recycler а в них файлы Desktop.InI)не нашлись, поэтому я их просто удалил. После перезагрузки компа они не появились. Заново прогнал скрипты, логи прилагаю.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G6789085}');
 DelCLSID('{23MAD6M9-4MAD-76AD-JIM3-73OP5G7781022}');
 QuarantineFile('C:\DREAM\PIANO\xor.exe','');
 QuarantineFile('c:\AKON\BYONC\AKON.exe','');
 DeleteFile('c:\AKON\BYONC\AKON.exe');
 DeleteFile('C:\DREAM\PIANO\xor.exe');
 DeleteFileMask('c:\AKON', '*.*', true);
 DeleteDirectory('c:\AKON');
 DeleteFileMask('C:\DREAM', '*.*', true);
 DeleteDirectory('C:\DREAMN');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог Gmer

[Kimver]

Скрипты выполнил, карантин прилагаю. При попытке запустить гмер выдается сообщение об ошибке и прложение закрывается.

[Шапельский Александр]

При попытке запустить гмер выдается сообщение об ошибке и прложение закрывается.

Попробуйте так:
Закройте/выгрузите все программы
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- USB-модем, блютус и т.п.;
Пробуйте делать лог

[polword]

если Gmer не получится сделать, сделайте лог Combofix

[Kimver]

К сожалению, приведенные выше рекомендации не помогли. Gmer выдает ошибку даже при запуске из безопасного режима. Код ошибки:

AppName: j21trygf.exeAppVer: 1.0.15.15281 ModName: j21trygf.exe
ModVer: 1.0.15.15281 Offset: 0005c887

Сделал скан Combofix. В ходе его работы было сообщение об ошибке приложения Pev.cfxxe, но процесс дошел до конца. Лог прилагаю.

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\docume~1\Laba\LOCALS~1\Temp\pxtdrpob.sys

Driver::
pxtdrpob

NetSvc::
prmwves
aruzb
logojkm
ymnbr
aoyzqb
sbvthh
anxakv
usfeavreu
axqhcy
ppczshzib
mxdvf
pekqr

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Kimver]

Скрипт выполнил. Первый раз система перезагрузилась три раза подряд и лог не сохранился. Прогнал скрипт еще раз, результат: одна перезагрузка и сохраненный лог. Оба раза при работе Combofix появлялось сообщение об ошибке PEV.cfxxe.

[polword]

- Удалите ComboFix
что с проблемой?

[Kimver]

ComboFix удалил. Скрытые файлы и папки теперь отображаются. Еще, на всякий случай, прогнал скрипты avz и hijack, логи прилагаю. Спасибо.

[polword]

Восстановление системы: включено

- отключите

- Сделайте лог Gmer
если не получится снова лог Combofix

[Kimver]

Отключил восстановление, прогнать Gmer-ом опять не получилось. Лог от Combofix прилагаю, а также все остальные логи.

[polword]

1.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
pekqr

NetSvc::
pekqr

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\pxtdrpow.sys','');
 QuarantineFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\mbr.sys','');
 DeleteFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\pxtdrpow.sys');
 DeleteFile('C:\DOCUME~1\Laba\LOCALS~1\Temp\mbr.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[Kimver]

Все сделал. После выполнения скрипта в avz компьютер перезагрузился дважды. Вот логи.

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
pekqr

NetSvc::
pekqr

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5368:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Kimver]

Сделал

[polword]

- Удалите ComboFix

что с проблемой?