Показано с 1 по 18 из 18.

Троян, связанный с Recycled (заявка № 25959)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35

    Thumbs up Троян, связанный с Recycled

    Проблема заключается в следующем:
    недавно заметил что на всех дисках появились скрытые папки Recycled, если их удалить, то они не появляются до тех пор, пока не открыть Корзину, но иногда появляются и без открытия Корзины. Так же заметил, что при полном отсутствии активных инет-приложений куда-то утекает траффик. Вообщем похоже на какого-то трояна. На компьютере у меня установлен был до вчерашнего дня Dr.Web, который ничего не находил подозрительного, сегодня его удалил и поставил нод32, который тоже почти ничего не нашел. AVZ нашла пару подозрительных файлов в папке installer, которые я удалил. Логи вроде все сделал.
    Вложения Вложения
    Последний раз редактировалось Viktory; 06.07.2008 в 04:54.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    DelCLSID('17C488B5-C303-B763-1B3E-8D14E83565B9');
     QuarantineFile('C:\WINDOWS\system32\IEXPLORE.EXE','');
     BC_DeleteFile('C:\WINDOWS\system32\IEXPLORE.EXE');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
    http://virusinfo.info/upload_virus.php?tid=25959
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Готово.
    Вложения Вложения

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Пофиксите в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    Проблемы какие-то наблюдаются?

  6. #5
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Проблем из-за фиксов пока не наблюдаю, но при входе в Корзину всё еще появляются на всех дисках скрытые папки с названием RECYCLER, в которых находится ярлык Корзины с названием S-1-5-21-2052111302-1123561945-682003330-500.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    На NTFS так и должно быть.

  8. #7
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    За сегодня утечки траффика не обнаружил, вероятно проблема решена. Спасибо за помощь.

  9. #8
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Появилась новая небольшая проблемка. Сестра принесла с работы на флешке червяка семейства autorun.inf
    Каждый локальный диск начал открываться в новом окне, стал невозможным просмотр скрытых файлов. Если первую проблему я решил с помощью авз, то вторую никак не могу решить. Хотелось бы узнать как вернуть нормальное функционирование просмотра скрытых файлов (в Свойствах папки>Вид если ставлю флаг Показывать скрытые файлы и папки то ничего не происходит и что-то изменяет флаг обратно на Не отображать скрытые файлы и папки). Скорее всего результаты вируса еще остались, знать бы где в реестре (вроде там эти значения) что надо изменить, чтобы флаг на отображение скрытых файлов стал корректно работать...

    p.s. создавать новую тему не стал, думаю ничего страшного если в этой все обсудить.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Логи сделайте. Не факт, что червяк прибит.

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Сделал логи, заодно прикреплю лог авз, после которого были удалены некоторые файлы червяка, но видимо не все...В процессах есть какой-то подозрительный csrss.exe(который является системным и никак не прибивается в ручную) и похоже еще не удалена длл-ка вируса (amvo0.dll - она вроде).
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 25.07.2008 в 18:44.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Viktory Посмотреть сообщение
    заодно прикреплю лог авз.
    Правила читали?
    Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), если Вас об этом не просили.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  13. #12
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Извиняюсь за нарушение правил в предыдущем посте, больше не проколюсь так.
    Выполнил все ваши рекомендации, но скрытые файлы по прежнему нет возможности просматривать.
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Скрытые файлы появились?

  15. #14
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Флаг перестал сам устанавливаться на "Не показывать скрытые файлы", но даже когда он стоит на "Показывать скрытые файлы и папки" они все еще не видны, хотя присутствуют 100%.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Есть еще опция "Скрывать защищенные файлы". Она отключенна?

  17. #16
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Да вы правы, действительно флаг стоял на этой опции, когда его убрал все скрытые файлы появились. Благодарю за помощь.

  18. #17
    Junior Member Репутация
    Регистрация
    06.07.2008
    Сообщений
    10
    Вес репутации
    35
    Прошу прощения за беспокойство, проблема решена.
    Последний раз редактировалось Viktory; 11.08.2008 в 23:34.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.nwl (DrWEB: Trojan.PWS.Wsgame.2387)
      2. c:\\windows\\system32\\iexplore.exe - Trojan.Win32.Inject.dml


  • Уважаемый(ая) Viktory, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подозрение на вирус связанный с .dll
      От LukasM в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.12.2010, 23:23
    2. Подхватил вирус связанный с WoW
      От RamTech в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.08.2010, 12:53
    3. Ответов: 8
      Последнее сообщение: 06.08.2009, 13:10
    4. Вопрос связанный с вирусом DefLib
      От Alyi в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:49
    5. Ответов: 4
      Последнее сообщение: 26.10.2008, 21:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00162 seconds with 17 queries