Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Подозрительный файл desktop.ini в папке GAC (заявка № 145223)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26

    Подозрительный файл desktop.ini в папке GAC

    Добрый день! Помогите очистить вирусы. После полного сканера Dr.Web CureIt! обнаружены два подозрительных файла, они обезврежены, но они появляются после перезагрузки ПК. Прилагаю скриншот отчета и логи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) SerDiman, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки: файл fystemRoot.log из папки AVZ прикрепите.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Сделайте лог GMER (http://virusinfo.info/showthread.php?t=40118)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    Файл fystemRoot.log пустой

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Выполните еще раз скрипт из 3 сообщения только в этот раз запускайте AVZ от имени Администратора через контекстное меню проводника.

    1. Скачайте TDSSKiller
    2. Запустите файл TDSSKiller.exe.
    3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. Самостоятельно без указания консультанта ничего не удаляйте!!!
    9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    10. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    Файл fystemRoot.log тоже пустой файл. Прилагаю лог TDSSKiller

    - - - Добавлено - - -

    После TDSSkiller я просканировал D.Web CureIt! и удалил autorun.ini, и больше не появляется. Именно помогала программа TDSSkiller! Спасибо большое! Поддерживаю проект!
    Последний раз редактировалось SerDiman; 09.09.2013 в 00:00.

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    thyrex, выполнил...

  12. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Прикрепите текстовый файл Correct_wuauserv&BITS.log. Папку TDSSKiller_Quarantine в корне системного раздела запакуйте в архив с паролем virus и пришлите согласно приложения 2 "Прислать запрошенный карантин".

    Сделайте новые логи AVZ

    Сделайте новый лог TDSSKiller
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #10
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    Новая проблема, в Chrome при загрузке любого файла пишет ошибка: Не удалось выполнитьь проверку на вирусы, я удалил Chrome и папку Chrome из Program Files и Users и ставил его - бесполезно, в других браузерах всё нормально качаются. Из папки каратнтина антивирус один файл удалил, его восстановить не могу, в карантине пусто.
    Файлы не могу прикрепить, выдает ошибка при отправке файлов в вирусинфо......

  14. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Попробуйте загрузить отчеты на http://www.rhgost.ru , а полученную ссылку прикрепить на форуме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  15. #12
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    C другого ПК нормально отправились файлы. Почему?

  16. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin   
    BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS','Parameters_1');
    BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','Parameters_2');    
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RebootWindows(false);    
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После выполнения в папке avz появится папка Backup в которой будет еще одна папка с датой выполнения этого скрипта, в которой в свою очередь будут reg-файлы. Запакуйте их в архив и прикрепите в сообщении.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  17. Это понравилось:


  18. #14
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    Прилагаю

  19. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    1. Создайте точку восстановления системы. Для этого нажмите Пуск=>Все программы=>Стандартные=>Служебные=>Восстановление системы. В окне Восстановление системы выберете "Создать точку восстановления" задайте ей имя и нажмите "Создать".

    2. Отключите Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    3. Скачайте и распакуйте архив из вложения. В архиве лежат 2 файла запустите оба файла от имени Администратора, затем перезагрузите компьютер и после этого сделайте новые логи AVZ.
    Вложения Вложения
    Последний раз редактировалось mike 1; 09.09.2013 в 21:33.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  20. Это понравилось:


  21. #16
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    Инструкция по созданию точки восстановления системы не та. это по моему в другой системе, в Win 7 http://netler.ru/ikt/windows7-system-restore-point.htm. Извините за это, просто хочу Вам помочь исправить инструкцию.

    Новые логи прилагаю...

  22. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Наконец-то получилось восстановить. Что сейчас с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  23. Это понравилось:


  24. #18
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    Спасибо! Система нормально работает! Проблема в Хроме, может дело в настройках и реестре, разберусь.

  25. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Попробуйте обновления установить. Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  26. Это понравилось:


  27. #20
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    49
    Вес репутации
    26
    Лога нет, т.е. блокнот не открывается, и такого нет файла после выполнения скрипта...значит обновления не нужны? Может я пробую переустановить все эти программы? Или как?

    - - - Добавлено - - -

    Я погуглил в инете и нашел очень похожую проблему http://virusinfo.info/showthread.php?t=142214 и запустил IE, там тоже не качаются файлы, ошибку выдает (см. скрин) в службах нет такой службы . как вернуть её? В opera нормально качаются файлы.

    - - - Добавлено - - -

    Службу "Служба базовой фильтрации" вернул http://forum.oszone.net/thread-233926.html, но проблема в скачках файлов осталась...только в IE и Chrome, в хроме пишет "Ошибка: не удалось выполнить проверку на вирусы", а в IE "Файл содержал вирус и был удален", причем я скачал файлы с официальных доверенных сайтов.

    - - - Добавлено - - -

    Я запустил ComboFix, и он удалил звери, теперь файлы качаются, прилагаю лог

    - - - Добавлено - - -

    Всё нормально качаются файлы в браузерах. Что мне дальше делать? Мне прислать карантин от ComboFix Вам? И MBAM просканировать?

  • Уважаемый(ая) SerDiman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. В дисководе висит файл desktop.ini
      От oslo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.12.2012, 11:01
    2. Ответов: 9
      Последнее сообщение: 18.03.2012, 14:38
    3. Подозрительный файл
      От zubr57 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.07.2010, 11:56
    4. Подозрительный файл
      От Bare в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.01.2010, 06:04
    5. Появился файл desktop.ini Что это такое???
      От Alexus3399171 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 12.10.2009, 19:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00062 seconds with 17 queries