Показано с 1 по 12 из 12.

Постоянно создаются на флешке скрытые папки RECYCLER, NADFOLDER и autorun.inf (заявка № 44203)

  1. #1
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    6
    Вес репутации
    55

    Question Постоянно создаются на флешке скрытые папки RECYCLER, NADFOLDER и autorun.inf

    Цитирую переписку с Вирусной лаболаторией Касперского (ВЛК), описывающую суть проблемы:

    Я: Принесли проверить ноутбук. На своем рабочем компьютере под защитой КАВ 6.0.3.837 я скопировал на флешку утилиты AVZ, HiJackThis последние версии и Kaspersky Virus Removal Tool последнюю версию.
    Далее работал с флешкой на зараженной машине. После этого вставил флешку обратно в свой компьютер.
    Касперский сработал, нашел вирус, удалил. Далее несколько раз сработал повторно, нескалько раз удалил один и тот же файл. После этого замолчал.Флешку на моем компьютере форматировать не дает, на флешке после удаления постоянно появляются папки, как на скрине flash.jpg.

    ВЛК: Здравствуйте,
    autorun.inf - Worm.Win32.AutoRun.dui
    Этот файл определяется антивирусом. Обновите антивирусные базы. Так же проведите полную проверку компьютера нашим антивирусов.
    Desktop.ini, sndrv.exe_
    Вредоносный код в файлах не обнаружен.
    Пожалуйста, при ответе включайте переписку целиком.
    Ответ актуален для последних баз с источников обновлений.

    Я: А я и не спорю, что не определяется.
    Почему при подключении чистой, только что отформатированной флешки в другом компьютере, к моему системнику на ней сразу же появляются три объекта в корне (два первых скрытых):
    RECYCLER
    NADFOLDER
    autorun.inf
    Антивирусные базы от 20.04.2009 4.04, обновляются через Admin Kit server.
    Полное сканирование выполнено, вредоносных объектов 0.
    Флешку отформатировать я не могу.
    Это нормальное поведение системы?
    Удаление данных папок ни к чему не приводит.
    Кста, содержимое папки NADFOLDER, переименованной в NADFOLDER2222 в прикреплениях.

    ВЛК: Здравствуйте,
    Потому что флешка содержит файл autorun.inf. Который служит способом распространения вируса.
    Desktop.ini
    Вредоносный код в файле не обнаружен.

    Я: Проблема в том, что моя система заражена, а не флешка. И антивирус не видит симптомов и говорит что все чисто.На любой флешке, которую воткнуть в мой комп, появляются эти папки. Как мне мой компьютер вылечить?
    Я не присылал Вам desktop.ini. Я прислал вам заархивированный NATFOLDER2222, в которой содержатся файлы autorun.exe и desktop.ini
    И файл в корне флешки autorun.inf следующего содержания:
    [autorun]
    open=NADFOLDER\autorun.exe
    icon=%SystemRoot%\system32\SHELL32.dll,4
    action=Open folder to view files
    shell\open=Open
    shell\open\command=NADFOLDER\autorun.exe
    shell\open\default=1
    А Вы мне говорите что все OK, антивирус говорит ВСЕ ОК, И desktop.ini - вредоносный код в файле не обнаружен.
    Да как то всеравно, безобидный это код или нет,
    Но это - "НЕ ОК".
    Как вылечить это Вы можете посоветовать или нет?

    ВЛК: Здравствуйте,
    поишите подозрительные файлы по дате создания и пришлте их нам на анализ

    *******
    Логи согласно Правил в приложениях, так же там скрин корня флешки после форматирования на другом компьютере и подключенной к подопытному.

    Помогите, пожалуйста решить проблему.
    Спасибо.
    Изображения Изображения
    • Тип файла: jpg flash.jpg (74.7 Кб, 35 просмотров)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
     QuarantineFile('E:\autorun.inf','');
     DeleteFile('E:\autorun.inf');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
     DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    6
    Вес репутации
    55
    Выполнил действия.
    Новые логи.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 20.04.2009 в 21:42.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-9883647784-4605559625-576213112-8991\wingn.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-9883647784-4605559625-576213112-8991\wingn.exe');
     DeleteFile('E:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    6
    Вес репутации
    55
    Скрипт выполнил..

    Сегодня после включения компьютера появился процесс sxs.exe, сам исполняемый файл лежал в корневой папке моего пользователя в Documents&Settings, появился он там вчера.
    Так же во временных файлах IE обнаружились два экзешника ups.exe и sxs.exe, дата создания 20.04.2009, загруженных с ресурсов moderated и moderated соответсвенно...
    sxs я удалил, предварительно поместив копию в архив, временные файлы все удалил.. и вообще много чего удалил.
    Папку AVZ тоже случайно удалил. С карантинами вчерашними..

    Скачал AVZ, скрипты выполнил по новой. Логи прилагаю.
    Проблема осталась прежней. При подключении флешки Касперский начинает удалять файл autorun.inf, файл появляется вновь... процесс повторяется.

    Проясните, пожалуйста, ситуацию.. что за зловред то поселился у меня?
    Какова вероятность заражения других компьютеров через сеть?
    Мой акк имеет полные права на запись и удаленную установку в домене.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.04.2009 в 12:42.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    6
    Вес репутации
    55
    Выполнил все действия...

    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего подозрительного не видно.
    - Установите ИЕ 8

  10. #9
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    6
    Вес репутации
    55
    Да, Вы правы.
    С флешкой все впорядке, вроде.
    После форматирования новых файлов не появляется.
    sxs.exe, который появлялся в папке пользователя и был в процессах - сейчас его нет, но почему касперский на него не реагировал?
    И что было с системой?

    Спасибо за оказанную помощь!

    PS: ноутбук, с которого я заразился, скрипты подойдут для лечения?

    Забыл добавить, что перед последними сканированиями установил заплатку от MS WindowsXP-KB958687-x86-RUS.exe для SP3.
    (__http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)
    Последний раз редактировалось Artaios; 21.04.2009 в 14:41.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Artaios Посмотреть сообщение
    И что было с системой?
    sndrv.exe_ - Worm.Win32.AutoRun.fpt
    ноутбук, с которого я заразился, скрипты подойдут для лечения?
    Нет. Создайте отдельную тему по правилам

  12. #11
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    6
    Вес репутации
    55
    Проблема решена.

    Спасибо.
    Последний раз редактировалось Artaios; 22.04.2009 в 09:50. Причина: Добавлено

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe - Worm.Win32.AutoRun.fpt ( DrWEB: BackDoor.IRC.Flood.8, BitDefender: Trojan.Downloader.JJRI )


  • Уважаемый(ая) Artaios, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 13
      Последнее сообщение: 26.07.2011, 02:32
    2. Скрытые папки на флешке
      От mikl02 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.04.2011, 09:36
    3. Скрытые файлы/папки на флешке
      От Acetorfin в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.09.2010, 09:53
    4. Ответов: 1
      Последнее сообщение: 22.08.2009, 15:01
    5. Создаются скрытые папки NEXT и MEMORY
      От NightNEo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.06.2009, 17:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00629 seconds with 18 queries