-
Junior Member
- Вес репутации
- 49
Нет доступа к ряду папок, вирус
Заблокировался доступ через "Проводник" к папкам на диске "С": Documents and Settings, All Users и Default User (в подпапке "Пользователи"), local settings, Application Data, Cookies, Net hood, Print hood, Sent to, Recent и т.д. В "Проводнике" у всех этих папок изменилась иконка (теперь выглядит как Ярлык на папку). При попытке открыть выскакивает окно "Отказано в доступе".
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 49
Нет доступа к ряду папок, вирус
-
Выполните скрипт в AVZ:
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
WhatService('xdsozxf');
BC_ImportAll;
BC_Activate;
SaveLog(GetAVZDirectory+'xdsozxf.log');
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Файл xdsozxf.log из папки AVZ приложите в теме.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Nikkollo, спасибо! Попробую сейчас выполнить скрипты.
Добавлено через 20 минут
thyrex,
Combofix скачал. Делать лог надо после выполнения скриптов AVZ (от Nikkollo)???
или ДО???
Последний раз редактировалось everzh; 30.12.2010 в 00:28.
Причина: Добавлено
-
После, это же всё по порядку идёт, так и выполняйте.
-
-
Junior Member
- Вес репутации
- 49
Скрипты AVZ выполнены. quarantine.zip загружен по красной ссылке.
Лог xdsozxf прилагаю.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Windows\system32\gcawb.dll');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xdsozxf');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvcReg('xdsozxf');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 49
Скрипт AVZ выполнен. Лог от ComboFix прикладываю.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
NetSvc::
xdsozxf
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-Профиксите в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 49
Всех с наступившим новым годом!!!!!!!
После проделанных операций новый лог ComboFix сделан. Прикладываю.
Не совсем понятно как профиксить в HijackThis указанные 4 строчки.
По поводу обновлений. На ноуте установлена Виста. Все обновы по ней от MS присутствуют (исключая 15 последних для MS Office).
-
- Удалите ComboFix
что с проблемой?
-
-
Сообщение от
everzh
Не совсем понятно как профиксить в HijackThis указанные 4 строчки.
Это означает, что вы должно запустить сканирование HijackThis потом поставить галочки у этих строк и нажать Fix checked
-
-
Junior Member
- Вес репутации
- 49
ComboFix успешно удалился.
По статусу проблемы:
Насколько я понял один зловред по крайней мере был удален (скрытый процесс xdsozxf файл gcawb.dll - в проводнике был не виден).
По поводу доступа к папкам - похоже что на самого напал тупняк (пережиток от XP). К примеру папка Documents a nd Settings в Viste не существует. Это действительно линк.
Позавчера проверил систему средством от Dr. Weber "CureIt". Получил 2 раза синий экран смерти (в чем причина???) После перезагрузок проверка прошла. Под подозрение попал файл office_enterprise_2007_rus.exe (было переименовано расширение на .#xe). На VirusTotalе больше половины антивирусов детектят файл как вирус или Tool. Что с ним делать пока не знаю.
По HijackThis все равно не понимаю где поставить галочки, что нужно профиксить. Привожу screenshot по скану HijackThis. В какие строчки нужно поставить галочки?
-
Сообщение от
everzh
В какие строчки нужно поставить галочки?
рядом с R0, например, есть квадратик слева, в него ткните мышкой, получите галочку
Ссылку на анализ virustotal дайте посмотреть.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
-
Junior Member
- Вес репутации
- 49
Доброй ночи.
В конце концов строчки в HijackThis профиксил. 4-х строчек идентичных с рекомендованными при запуске HijackThis скана я не нашел. Посему профиксил все строчки с кодами R0 и R1 (всего 6 шт.). В результате слетела стартовая страница в IE, восстановил.
Проблем по работе системы не наблюдается.
Остался вопрос Что делать с файлом office_enterprise_2007_rus.exe (расширение изменено на .#xe). Вирус это или нет??? Линк на результаты скана этого файла в VirusTotal приведен в моем предыдущем письме.
Дополнительно:
AVZ при запуске постоянно ругается на 2 блютуthные библиотеки:btmmhook.dll и btkeyind.dll. Проверял файлы чистые.
В завершение огромное спасибо всем кто помогал в лечении компа.
Всем творческих успехов в наступившем году.
-
Сообщение от
everzh
Остался вопрос Что делать с файлом office_enterprise_2007_rus.exe (расширение изменено на .#xe). Вирус это или нет??? Линк на результаты скана этого файла в VirusTotal приведен в моем предыдущем письме.
Похоже это хактул - не вирус, можете ещё загрузить этот файл на проверку, как написано в теме http://virusinfo.info/showthread.php?t=37678
Последний раз редактировалось light59; 05.01.2011 в 12:41.
-
-
Junior Member
- Вес репутации
- 49
Загрузил файл на проверку
Файл сохранён как 110106_010702_virus_4d24eb8610c6b.zip
Размер файла 11638
MD5 b7460f917c79d1492cf6b762e619ec2c