-
Junior Member
- Вес репутации
- 51
Не скрываются скрытые фаылы
Добрый день! Проблема вот в чем, пару дней назад нужно было просмотреть скрытые файлы и папки, заходил в Сервис-свойства папки-вид и выбирал показать скрытые файлы но не получалось, сразу в инет, прочитал, что дело в вирусе, которые скорее всего я удалил но следы его работы остались, нашел что нужно подправить ручками реестр HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue удалить его и создать новый с параметром 1... Вроде все так и сделал, скрытые файлы показались, перезагрузил машину, хотел скрыть файлы, но был удивлен когда в свойствах папки стоят сразу два кружочка на "не показывать скрытые файлы и папки" и "показывать скрытые файлы и папки"... Тут уже или я перемудрил с реестром или все таки не добрался туда куда добрался вирус... Перед тем как сделать файлы отчет, скачал последний cureit, проверил систему в безопасном режиме, нашел один подозрительный файл, если нужно лог могу прикрепить (вроде программы remoteadmin)...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) nikemax, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe','');
QuarantineFile('H:\windows\system32\servises.exe','');
QuarantineFile('H:\windows\system32\drivers\synsenddrv.sys','');
QuarantineFile('H:\windows\system32\drivers\fxngsv.sys','');
DeleteFile('H:\windows\system32\drivers\fxngsv.sys');
DeleteFile('H:\windows\system32\drivers\synsenddrv.sys');
DeleteFile('H:\windows\system32\servises.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=103481).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Файл отправлен, логи прикреплены...
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Результат без изменений... Скрыте фалы отображаются и в свойствах папки также выделены два пункта...(
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сканирование завершено, нашел 23 объекта, я их пока не удалял, жду ваших указаний...
-
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Value: del -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\RegistryMonitor2 (Malware.Trace) -> Value: RegistryMonitor2 -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
h:\program files\mycentria (Adware.MyCentria) -> No action taken.
h:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken.
h:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken.
Зараженные файлы:
h:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
h:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
h:\WINDOWS\system32\userinitxx.exe (Trojan.Agent) -> No action taken.
h:\program files\mycentria\mycentriauninstall.exe (Adware.MyCentria) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Удалил указанные файлы в закладке карантин, после сделал полную проверку и прикрепляю новый лог-файл
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Проблема осталась, скрытые файлы видны, и в свойствах папки также выделены два пункта, а если нажать восстановить по умолчанию, то снимаются два кружочка... Может проблема осталась в самом реестре?
-
Junior Member
- Вес репутации
- 51
Кто может помочь подправить реестр, откликнитесь пожалуйста!
-
Сообщение от
nikemax
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue удалить его и создать новый с параметром 1
Можно было просто изменить значение
Запустите редактор реестра, сделайте экспорт ветки HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL и прикрепите полученный файл
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделал экспорт, файл прикрепил.
-
Странно. Все верно в реестре
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-