Словил шнягу, услышав и увидев, когда при посещении страницы стали запускаться всякие файлы, короче понял что процесс пошел.
DrWeb проорал что нашел один зараженный и удалил.
Сразу после этого нашел файлы за последние 5 минут, потер что на вирус было похоже, вообщем все как обычно. (за 5 лет плотного стажа всегда справлялся со всеми вирями без особых проблем)
Файлы были следующие:
Documents and Settings\Userr\Local Settings\Temp\4BNB5.exe
Documents and Settings\Userr\Local Settings\Temp\loader.exe
Documents and Settings\Userr\Local Settings\Temp\scan.exe
Documents and Settings\Userr\Local Settings\Temp\winrt5QKnj5ugF93.exe
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\91K1PVP8\c[1].exe
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\CPAHQB0B\load[1].exe
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\O9QJOH2Z\load[1].exe
Program Files\S87ekhV.exe
WINDOWS\services.exe
Все отключил все удалил без проблем.
AVZ говорит все ОК
DrWeb говорит все ОК
В HIJACK тоже ничего подозрительного нового
В чем проблема?
Проблему увидел что в Documents and Settings\Userr\Local Settings\Temp появилась папка Temporary Internet Files, думаю ладно фиг с ней, вир чтото там накопировал - удаляю ее, чтото удалилось, но осталось несколько папок типа
"Documents and Settings\Userr\Local Settings\Temp/Temporary Internet Files/0T6F8XUB"
а в них файлы с длинным названием в 3 строки блокнота вообщем длинные
(типа fslfklsfjnakosj_fjsn[dskfmldskfdsfsd.dsss]dslnfjsdnfl)
и размером 0 байт, это еще не суть. Вообщем пытаюсь удалить Total Commander-ом, не удаляется. Ладно, из проводника все удалилось без проблем.
А вот теперь то что я не решил и собственно в чем проблема.
Теперь уже проблема в самой папке
"Documents and Settings\Userr\Local Settings\Temporary Internet Files",
даже не в ней а вот в чем:
"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\440Q46MT\app_[1]." размер 0 байт
"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\KD6JS9Q7\app_[1]." размер 0 байт
Эти два файла видит тотал коммандер но удалить не может пишет not found, а проводник вообще не раскрывает папку Temporary Internet Files как будто она пустая, НО после захода в инет после посещения страниц проводник показывает в ней Cookie, которых больше нигде нет и total commander их не видит в этой папке. Тоесть выглядит это так:
Тотал коммандер видит:
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\440Q46MT и другие файлы и папки,
А проводник видит следующее:
"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Cookie:[email protected]/" (Text Document 1kb)
"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Cookie:[email protected]/" (Text Document 1kb)
и так далее... проводник удалить дает, переименовать не дает F2 не работает, но F2 не работает только в этой папке если перейти в другую папку то работает.
Понятно что связь между не удаляемыми файлами которые видит тотал и этими куки которые видит проводник есть, но не могу понять что делать, в тупике, может конечно туплю от недосыпа, но вот она проблема. Жду помощи, советов. Если от меня понадобятся любые логи и прочее - все сделаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 11.08.2008 в 17:30.
Естественно выполнил!
А проблема в том что не удается удалить файл "440Q46MT/app_[1]."
справа в тотал коммандере его видно на скрине и проблема что как Вы можете видеть одну и ту же папку проводник и тотал коммандер показывают по разному!
В проводнике как будто закрыт доступ к этой папке и она показывает куки которых в файлах при поиске нигде на компьютере нет и что эти кукисы появляются только когда открываешь интернет и наче папка пустая в проводнике!
Как будто ктото или чтото следит за тем как я логинюсь на сайтах..
Последний раз редактировалось bossmp3; 11.08.2008 в 18:31.
Естественно. Да и не от этого же проводник показывает во временной папке несуществующую физически ерунду.
Правду ведь, как я уверен на 99.99%, показывает тотал коммандер и ТК не может удалить файл которого я так понимаю тоже не существует, по крайнее мере ТК пишет что не может удалить файл так как этого файла не существует...
Повторяю итог: Моя проблема в том что проводник неверно отображает временную папку, не видит то что должно быть во временной папке по определению.
А Тотал коммандер все видит но не может удалить из нее файл.
И этот файл ,как я могу предполагать, принимает какое то участие в сбое проводника.
Последний раз редактировалось bossmp3; 11.08.2008 в 18:53.
Проверил у себя - в Тоталкоммандере видны эти магические 4 папки, которые не видны в проводнике. В IdosWin - мой стандартный проводник - видны еще какие-то папки/файлы и т.д. Можете еще с Volkov Commander поиграться, хотя смысла большого не вижу - ну есть файл с 0 байтов, ну и пусть Может он только в памяти сидит, а на диске - его тень.
Я не говорю что чтото не так с ТК или ВК, с ними то как раз все так, а проблема с проводником Windows, может файлы и ерунда может вирус уже прибит, но дело в чем...
Дело в том что 2 файла не удаляющихся с размером 0 байт появились вместе с сегодняшними вирусами и как я могу полагать именно они связаны с неверной работой проводника Windows..
Почему проводник не видит реальное содержимое папки
"Documents and Settings\Administrator\Local Settings\Temporary Internet Files" ?
\\documents and settings\\userr\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.awn (DrWEB: Trojan.DownLoad.2077)
\\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\cpahqb0b\\load[1].exe - Trojan-Downloader.Win32.Mutant.bxe (DrWEB: Trojan.MulDrop.18282)
\\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\o9qjoh2z\\load[1].exe - Trojan.Win32.Buzus.qyt (DrWEB: Trojan.MulDrop.18267)
\\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\91k1pvp8\\c[1].exe - Trojan-Proxy.Win32.Small.vd (DrWEB: Trojan.Packed.573)
\\documents and settings\\userr\\local settings\\temp\\scan.exe - Trojan-Downloader.Win32.Small.aaso (DrWEB: Trojan.Packed.600)
\\documents and settings\\userr\\local settings\\temp\\winrt5qknj5ugf93.exe - Trojan.Win32.Buzus.qyt (DrWEB: Trojan.MulDrop.18267)
\\documents and settings\\userr\\local settings\\temp\\4bnb5.exe - Trojan-Downloader.Win32.Obfuscated.dgg (DrWEB: Trojan.DownLoad.344
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: