Троян, связанный с Recycled

[Viktory]

Проблема заключается в следующем:
недавно заметил что на всех дисках появились скрытые папки Recycled, если их удалить, то они не появляются до тех пор, пока не открыть Корзину, но иногда появляются и без открытия Корзины. Так же заметил, что при полном отсутствии активных инет-приложений куда-то утекает траффик. Вообщем похоже на какого-то трояна. На компьютере у меня установлен был до вчерашнего дня Dr.Web, который ничего не находил подозрительного, сегодня его удалил и поставил нод32, который тоже почти ничего не нашел. AVZ нашла пару подозрительных файлов в папке installer, которые я удалил. Логи вроде все сделал.

[AndreyKa]

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
DelCLSID('17C488B5-C303-B763-1B3E-8D14E83565B9');
 QuarantineFile('C:\WINDOWS\system32\IEXPLORE.EXE','');
 BC_DeleteFile('C:\WINDOWS\system32\IEXPLORE.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
http://virusinfo.info/upload_virus.php?tid=25959
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.

[Viktory]

Готово.

[wise-wistful]

Пофиксите в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Проблемы какие-то наблюдаются?

[Viktory]

Проблем из-за фиксов пока не наблюдаю, но при входе в Корзину всё еще появляются на всех дисках скрытые папки с названием RECYCLER, в которых находится ярлык Корзины с названием S-1-5-21-2052111302-1123561945-682003330-500.

[pig]

На NTFS так и должно быть.

[Viktory]

За сегодня утечки траффика не обнаружил, вероятно проблема решена. Спасибо за помощь.

[Viktory]

Появилась новая небольшая проблемка. Сестра принесла с работы на флешке червяка семейства autorun.inf
Каждый локальный диск начал открываться в новом окне, стал невозможным просмотр скрытых файлов. Если первую проблему я решил с помощью авз, то вторую никак не могу решить. Хотелось бы узнать как вернуть нормальное функционирование просмотра скрытых файлов (в Свойствах папки>Вид если ставлю флаг Показывать скрытые файлы и папки то ничего не происходит и что-то изменяет флаг обратно на Не отображать скрытые файлы и папки). Скорее всего результаты вируса еще остались, знать бы где в реестре (вроде там эти значения) что надо изменить, чтобы флаг на отображение скрытых файлов стал корректно работать...

p.s. создавать новую тему не стал, думаю ничего страшного если в этой все обсудить.

[pig]

Логи сделайте. Не факт, что червяк прибит.

[Viktory]

Сделал логи, заодно прикреплю лог авз, после которого были удалены некоторые файлы червяка, но видимо не все...В процессах есть какой-то подозрительный csrss.exe(который является системным и никак не прибивается в ручную) и похоже еще не удалена длл-ка вируса (amvo0.dll - она вроде).

[Rene-gad]

заодно прикреплю лог авз.

Правила читали?

Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), если Вас об этом не просили.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Viktory]

Извиняюсь за нарушение правил в предыдущем посте, больше не проколюсь так.
Выполнил все ваши рекомендации, но скрытые файлы по прежнему нет возможности просматривать.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Скрытые файлы появились?

[Viktory]

Флаг перестал сам устанавливаться на "Не показывать скрытые файлы", но даже когда он стоит на "Показывать скрытые файлы и папки" они все еще не видны, хотя присутствуют 100%.

[AndreyKa]

Есть еще опция "Скрывать защищенные файлы". Она отключенна?

[Viktory]

Да вы правы, действительно флаг стоял на этой опции, когда его убрал все скрытые файлы появились. Благодарю за помощь.

[Viktory]

Прошу прощения за беспокойство, проблема решена.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.nwl (DrWEB: Trojan.PWS.Wsgame.2387)
  2. c:\\windows\\system32\\iexplore.exe - Trojan.Win32.Inject.dml