Jim Carry & Feast Ival

Printable View

22.07.2010, 12:12
mishkin2

Jim Carry & Feast Ival

Добрый день.
Вставил в комп чужую USB флешку, после чего последовала произвольная перезагрузка. С флешки удалил папки /Jim и /Feast и вернул владельцу, но боюсь что проблема осталась у меня.
Помогите плиз.
Дайте совет, чем обезопасть себя в дальнейшем от подобного?
22.07.2010, 12:39
thyrex

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
22.07.2010, 15:33
mishkin2

Gmer скачал по ссылке:
[url]http://www2.gmer.net/gmer.zip[/url]
22.07.2010, 15:38
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service cvqnec
gmer.exe -del file "C:\WINDOWS\system32\fkvnhyz.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cvqnec"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cvqnec"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.
22.07.2010, 16:43
mishkin2

выдал ошибку: An error 0x00000002 occured during the deletion of file: "C:\WINDOWS\system32\fkvnhyz.dll": Не найден указанный модуль.
и DeleteKey: Не найден указанный модуль.

в предыдущем логе красным была отмечена строка:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] cvqnec <-- ROOTKIT !!!
и по окончании сканирования было окно (к сожалению я не переписал его)
сей час не было красных строк и окон по завершению сканирования.

смущают еще скрытые папки на дисках \RECYCLER с фалами типа S-1-5-21-2000478354-1677128483-1801674531-500
и отсутствие возможности отображать скрытые папки в стандартном Проводнике Windows (ставлю галочку, но она снова пропадает)
22.07.2010, 16:58
thyrex

Лог чист.

[QUOTE='mishkin2;674608']еще скрытые папки на дисках \RECYCLER[/QUOTE]Это корзина

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится

Что с показом скрытых файлов в Проводнике?.
22.07.2010, 17:24
mishkin2

[QUOTE]Лог чист.[/QUOTE]не мог же он сам очиститься...

[QUOTE]Это корзина[/QUOTE]но папки на обоих дисках и в них по одному файлу (или это то же папки) C:\RECYCLER\S-1-5-21-2000478354-1677128483-1801674531-500
и D:\RECYCLER\S-1-5-21-2000478354-1677128483-1801674531-500

стандартная Корзина на рабочем столе и в ней 129 объектов

[QUOTE]Выполните скрипт в AVZ
Что с показом скрытых файлов в Проводнике?[/QUOTE]Без изменений
22.07.2010, 20:52
thyrex

[QUOTE='mishkin2;674642']не мог же он сам очиститься...[/QUOTE]В логе ничего необычного - так понятнее?

[QUOTE='mishkin2;674642']но папки на обоих дисках и в них по одному файлу (или это то же папки)[/QUOTE]Так и должно быть

[QUOTE='mishkin2;674642']Без изменений[/QUOTE]Проверьте в реестре в ветке [code]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced[/code] параметры [b]ShowSuperHidden, SuperHidden, Hidden[/b] на предмет равенства "1" (это правильное значение)

А также в ветке
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL[/code] параметр "[b]CheckedValue[/b]" тоже должен быть "1"
28.07.2010, 13:01
mishkin2

параметры [B]SuperHidden, Hidde[/B]n и [B]CheckedValue[/B] были "0"
теперь скрытые папки видны в браузере.

Спасибо!