Странная папка kolikoje

Printable View

05.08.2011, 21:28
korst

Вложений: 3

Странная папка kolikoje

Здравствуйте, у меня возникла такая проблема, на съемных носителях появилась скрытая папка kolikoje, после появления данной папки операционная система стала вести себя довольно странно, при сканировании нодом, нод находит несколько вирусов , но не хочет их удалять, и папка kolikoje также не удаляется со съемных носителей.
Прошу о помощи дорогие форумчане!
05.08.2011, 21:29
Info_bot

Уважаемый(ая) [B]korst[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.08.2011, 23:58
olejah

Здравствуйте

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\Documents and Settings\Sergei\fswagz.exe','');
DeleteFile('D:\Documents and Settings\Sergei\fswagz.exe');
QuarantineFile('D:\Documents and Settings\Sergei\cbzvl.exe','');
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
DeleteFile('D:\Documents and Settings\Sergei\cbzvl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

[B]Обновите базы АВЗ[/B]
- Сделайте новые логи
- Флешку во время снятия логов подключите.
06.08.2011, 09:17
korst

Вложений: 3

Вот, сделал новые логи
06.08.2011, 09:20
olejah

Логи старые. Хочу новые. Заново снимите.
06.08.2011, 10:18
korst

Вложений: 3

Вот новые логи,извиняюсь за то что старые прикрепил
06.08.2011, 10:49
olejah

Сейчас какие-нибудь симптомы остались? Что-нибудь беспокоит?
06.08.2011, 15:59
korst

Остались различные файлы с названием cbzvl.exe в Documents and Settings которые после ручного удаления заново появляются (и удаляются только через Unlocker) через какой-то промежуток времени
06.08.2011, 16:29
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=457118&viewfull=1#post457118"]полного сканирования МВАМ[/URL]
06.08.2011, 17:02
Nikkollo

+ к этому:

Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

[/CODE]

Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
06.08.2011, 17:03
olejah

[quote="Nikkollo;815810"]Если базы не обновляются через меню Файл, скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.[/quote]

Не получится, сайт лежит со вчерашнего дня.
06.08.2011, 18:09
korst

Вложений: 1

вот лог полного сканирования МВАМ
06.08.2011, 19:48
korst

Вложений: 3

[URL="http://virusinfo.info/member.php?u=52961"][COLOR=brown]Nikkollo[/COLOR][/URL]
вот сделал логи ,все что вы сказали
Правда есть одно , но , когда я выполнял скрипт [URL="http://dataforce.ru/%7Ekad/ScanVuln.txt"]http://dataforce.ru/~kad/ScanVuln.txt[/URL] и после выполнил его снова , в логах все равно было написано что я не скачал по ссылке "Уязвимость в службе диспетчера очереди печати делает возможным удаленное выполнение кода" хотя я это делал.
07.08.2011, 19:43
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63MAD6M8-1MAD-81AD-JIM6-32OP5G1234521} (Worm.AutoRun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_AVT-NET (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.

Зараженные папки:
d:\program files\mycentria (Adware.MyCentria) -> No action taken.
d:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken.
d:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken.

Зараженные файлы:
d:\documents and settings\Nik\application data\3po.ru\update.exe (Trojan.Clicker) -> No action taken.
g:\anita\проги\3po.ru_setup.exe (Trojan.Clicker) -> No action taken.
d:\documents and settings\Sergei\local settings\Temp\server.exe (Trojan.Agent) -> No action taken.
d:\program files\mycentria\Firefox\adcentria.uid (Adware.MyCentria) -> No action taken.
d:\program files\mycentria\Firefox\adcentria.xml (Adware.MyCentria) -> No action taken.[/code]
07.08.2011, 22:24
korst

Вложений: 1

вот лог после удаления в mbam
08.08.2011, 17:42
thyrex

Что с проблемой?
08.08.2011, 19:59
korst

вроде все нормально,ничего не беспокоит
09.08.2011, 19:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\sergei\\cbzvl.exe - [B]P2P-Worm.Win32.Palevo.duwq[/B] ( DrWEB: Trojan.Packed.21635, BitDefender: Gen:Variant.Kazy.64674, AVAST4: Win32:Morphex [Cryp] )[*] d:\\documents and settings\\sergei\\fswagz.exe - [B]Trojan.Win32.Diple.zmo[/B] ( DrWEB: Trojan.Packed.21635, BitDefender: Gen:Variant.Kazy.40852, AVAST4: Win32:Morphex [Cryp] )[*] h:\\autorun.inf - [B]Trojan.Win32.AutoRun.bph[/B] ( AVAST4: INF:AutoRun-DC [Wrm] )[/LIST][/LIST]