Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Нет доступа к ряду папок, вирус (заявка № 94397)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22

    Exclamation Нет доступа к ряду папок, вирус

    Заблокировался доступ через "Проводник" к папкам на диске "С": Documents and Settings, All Users и Default User (в подпапке "Пользователи"), local settings, Application Data, Cookies, Net hood, Print hood, Sent to, Recent и т.д. В "Проводнике" у всех этих папок изменилась иконка (теперь выглядит как Ярлык на папку). При попытке открыть выскакивает окно "Отказано в доступе".
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254
    Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22

    Нет доступа к ряду папок, вирус

    Потребный лог сделан.
    Вложения Вложения
    • Тип файла: log gmer.log (101.4 Кб, 4 просмотров)

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Выполните скрипт в AVZ:
    Код:
    procedure WhatService(AServiceName : string);
    var
    dllname, servicekey : string;
    begin
    servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
    RegKeyResetSecurity( 'HKLM', servicekey);
    RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
    AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
    AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
    AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
    dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
    AddToLog('ServiceDll: '+dllname);
    QuarantineFile(dllname,'');
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
    WhatService('xdsozxf');
    BC_ImportAll;
    BC_Activate;
    SaveLog(GetAVZDirectory+'xdsozxf.log');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Файл xdsozxf.log из папки AVZ приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22
    Nikkollo, спасибо! Попробую сейчас выполнить скрипты.

    Добавлено через 20 минут

    thyrex,
    Combofix скачал. Делать лог надо после выполнения скриптов AVZ (от Nikkollo)???
    или ДО???
    Последний раз редактировалось everzh; 30.12.2010 в 00:28. Причина: Добавлено

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254
    После, это же всё по порядку идёт, так и выполняйте.

  9. #8
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22
    Скрипты AVZ выполнены. quarantine.zip загружен по красной ссылке.

    Лог xdsozxf прилагаю.
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\Windows\system32\gcawb.dll');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xdsozxf');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvcReg('xdsozxf');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - сделайте лог Combofix

  11. #10
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22
    Скрипт AVZ выполнен. Лог от ComboFix прикладываю.
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    NetSvc::
    xdsozxf
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    -Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Поставте все последние обновления системы Windows - тут

  13. #12
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22
    Всех с наступившим новым годом!!!!!!!

    После проделанных операций новый лог ComboFix сделан. Прикладываю.


    Не совсем понятно как профиксить в HijackThis указанные 4 строчки.

    По поводу обновлений. На ноуте установлена Виста. Все обновы по ней от MS присутствуют (исключая 15 последних для MS Office).
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Удалите ComboFix

    что с проблемой?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Цитата Сообщение от everzh Посмотреть сообщение
    Не совсем понятно как профиксить в HijackThis указанные 4 строчки.
    Это означает, что вы должно запустить сканирование HijackThis потом поставить галочки у этих строк и нажать Fix checked

  16. #15
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22
    ComboFix успешно удалился.

    По статусу проблемы:

    Насколько я понял один зловред по крайней мере был удален (скрытый процесс xdsozxf файл gcawb.dll - в проводнике был не виден).

    По поводу доступа к папкам - похоже что на самого напал тупняк (пережиток от XP). К примеру папка Documents a nd Settings в Viste не существует. Это действительно линк.

    Позавчера проверил систему средством от Dr. Weber "CureIt". Получил 2 раза синий экран смерти (в чем причина???) После перезагрузок проверка прошла. Под подозрение попал файл office_enterprise_2007_rus.exe (было переименовано расширение на .#xe). На VirusTotalе больше половины антивирусов детектят файл как вирус или Tool. Что с ним делать пока не знаю.

    По HijackThis все равно не понимаю где поставить галочки, что нужно профиксить. Привожу screenshot по скану HijackThis. В какие строчки нужно поставить галочки?
    Изображения Изображения

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Цитата Сообщение от everzh Посмотреть сообщение
    В какие строчки нужно поставить галочки?
    рядом с R0, например, есть квадратик слева, в него ткните мышкой, получите галочку
    Ссылку на анализ virustotal дайте посмотреть.
    Paula rhei.
    Поддержать проект можно тут

  18. #17
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22

  19. #18
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22
    Доброй ночи.

    В конце концов строчки в HijackThis профиксил. 4-х строчек идентичных с рекомендованными при запуске HijackThis скана я не нашел. Посему профиксил все строчки с кодами R0 и R1 (всего 6 шт.). В результате слетела стартовая страница в IE, восстановил.

    Проблем по работе системы не наблюдается.

    Остался вопрос Что делать с файлом office_enterprise_2007_rus.exe (расширение изменено на .#xe). Вирус это или нет??? Линк на результаты скана этого файла в VirusTotal приведен в моем предыдущем письме.

    Дополнительно:

    AVZ при запуске постоянно ругается на 2 блютуthные библиотеки:btmmhook.dll и btkeyind.dll. Проверял файлы чистые.


    В завершение огромное спасибо всем кто помогал в лечении компа.
    Всем творческих успехов в наступившем году.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Цитата Сообщение от everzh Посмотреть сообщение
    Остался вопрос Что делать с файлом office_enterprise_2007_rus.exe (расширение изменено на .#xe). Вирус это или нет??? Линк на результаты скана этого файла в VirusTotal приведен в моем предыдущем письме.
    Похоже это хактул - не вирус, можете ещё загрузить этот файл на проверку, как написано в теме http://virusinfo.info/showthread.php?t=37678
    Последний раз редактировалось light59; 05.01.2011 в 12:41.

  21. #20
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    26
    Вес репутации
    22
    Загрузил файл на проверку

    Файл сохранён как 110106_010702_virus_4d24eb8610c6b.zip

    Размер файла 11638

    MD5 b7460f917c79d1492cf6b762e619ec2c

  • Уважаемый(ая) everzh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 21.07.2011, 13:27
    2. Вирус создаёт ярлыки вместо папок
      От ivrmx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.07.2011, 23:17
    3. Вирус создает кучу ненужных папок!
      От Jeweller787 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.10.2010, 13:45
    4. Ответов: 6
      Последнее сообщение: 18.04.2010, 19:15
    5. Ответов: 21
      Последнее сообщение: 24.07.2009, 17:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01646 seconds with 25 queries