Показано с 1 по 15 из 15.

Вирус, скрывающий файлы (заявка № 17376)

  1. #1
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    7
    Вес репутации
    37

    Exclamation Вирус, скрывающий файлы

    Ситуация прям один в один с http://virusinfo.info/showthread.php?t=17357 . Также схожа с http://virusinfo.info/showpost.php?p=178249&postcount=1
    и http://virusinfo.info/showpost.php?p=174189&postcount=1

    не видно скрытых файлов как не меняй настройки. проблем с IE не заметил, им не пользуюсь. После инфицирования аутпост прекратил нормально работать - пришлось удалить.
    есть подозрения на левый трафик.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('xycifd');
     SetServiceStart('xycifd', 4);
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINXP\system32\avpo.exe','');
     QuarantineFile('C:\WINXP\system32\amvo.exe','');
     QuarantineFile('C:\WINXP\system32\wincab.sys','');
     QuarantineFile('C:\WINXP\system32\avpo0.dll','');
     QuarantineFile('C:\WINXP\system32\amvo1.dll','');
     DeleteFile('C:\WINXP\system32\amvo1.dll');
     DeleteFile('C:\WINXP\system32\avpo0.dll');
     DeleteFile('C:\WINXP\system32\wincab.sys');
     DeleteFile('C:\WINXP\system32\avpo.exe');
     DeleteFile('C:\WINXP\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('F:\autorun.inf');
    BC_ImportALL;
    BC_QrSvc('asc3550u');
    BC_QrSvc('xycifd');
    BC_QrSvc('kbeepm');
    BC_DeleteSvc('ids00118');
    BC_DeleteSvc('ids0005c');
    BC_DeleteSvc('ids00026');
    BC_DeleteSvc('asc3550u');
    BC_DeleteSvc('xycifd');
    BC_DeleteSvc('kbeepm');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=17376).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    7
    Вес репутации
    37
    Спасибо Bratez! Работать система стала заметно лучше, но скрытые файлы все равно не видно! В свойствах папки ставлю видеть скрытые файлы и папки, но он автоматически переставляет все обратно(( Что делать?

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните скрипт в АВЗ

    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
    RebootWindows(true);
    end.
    Повторите логи, посмотрим как там гады все погибли или нет.
    А карантин Вы загружали?

  6. #5
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    7
    Вес репутации
    37
    Карантин загрузил.
    Выполнил скрипт... Теперь стало возможным выставить в свойствах папки видеть скрытые файлы. Но опять же не видно папки System volume information и скрытых файлов в общей папке "C".
    Загрузил новые логи.

    Я пробовал скантровать на руткиты гмером - он выдал рут в MBR. Как его от туда выжать??
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    7
    Вес репутации
    37
    Привешиваю скрин скантрования гмером
    Изображения Изображения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ....
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINXP\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINXP\System32\drivers\al_null.SYS','');
     QuarantineFile('DW.sys','');
     QuarantineFile('C:\WINXP\System32\drivers\DW.sys','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Цитата Сообщение от fighter Посмотреть сообщение
    Привешиваю скрин скантрования гмером
    Куреитом проверяли компьютер? (ссылка в правилах). Если нет, то проверьте, он может бороться с некоторыми руткитами в MBR.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    7
    Вес репутации
    37
    2kps: Да, проверял.

    2V_Bond: Проблема не решилась - System volume information все еще не видно((

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ничего и не решали , у вас попросили карантин , а вы его не прислали ...

  12. #11
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    7
    Вес репутации
    37
    Чего-то и забыл второй раз прислать... Все, сделано!

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\WINXP\System32\drivers\al_null.SYS -чистый
    выполните скрипт ....
    Код:
    begin
     BC_DeleteSvc('DW');
     BC_Activate;
     RebootWindows(true);
    end.
    отображается ли System volume information в фар .... и какая у вас файловая система ?

  14. #13
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    7
    Вес репутации
    37
    После выполнения скрипта ничего не изменилось... Фар видет, но ничего удалить не может(( Файловая система FAT32

    Добавлено через 6 часов 20 минут

    Есть какие-нибудь соображения на этот счет?
    Последний раз редактировалось fighter; 02.02.2008 в 18:20. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Запустите гмера, он должен при предварительном сканировании (сразу после запуска) обнаружить буткит.
    Далее нажмите правым щелчком по красной строке и выбирите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге. Содержимое первого сектора (что Вы сохранили) пришлите по правилам (ссылка вверху темы).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437)
      2. c:\\winxp\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.qiq (DrWEB: Trojan.MulDrop.6474)
      3. c:\\winxp\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.qiq (DrWEB: Trojan.PWS.Wsgame.2387)
      4. c:\\winxp\\system32\\avpo.exe - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437)
      5. c:\\winxp\\system32\\avpo0.dll - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437)
      6. d:\\autorun.inf - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437)
      7. f:\\autorun.inf - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437)


  • Уважаемый(ая) fighter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирус, скрывающий папки на флешки
      От Екатерина18 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2011, 23:02
    2. Вирус скрывающий папки
      От Alex_beat в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 29.06.2011, 14:27
    3. Вирус скрывающий папки
      От Alex_beat в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.06.2011, 11:30
    4. Вирус скрывающий папки
      От Bonifan в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.06.2011, 16:28
    5. популярный вирус, скрывающий файлы
      От RUSS1A в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00071 seconds with 17 queries