Показано с 1 по 8 из 8.

Создаются скрытые папки NEXT и MEMORY (заявка № 48773)

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Санкт-Петербург
    Сообщений
    39
    Вес репутации
    36

    Exclamation Создаются скрытые папки NEXT и MEMORY

    Машина не моя, посему не могу судить сколько вирусов и какие проблемы могли возникать в ходе работы за данным компом. На системе стоит Др.Веб 4.44, если не ошибаюсь. но видимо он не сильно помогает в ловле вирусов.
    На диске С есть скрытая папка С, NEXT и MEMORY. При подключении съёмных устройств ( в логах оно одно - К:\ ) на них автоматом создаются авторан, и две скрытые папки NEXT и MEMORY. Флешку чистил на своём компе с помощью АВЗ. Всё удалил. Проверил на другом компе - чисто. Вставил в этот - появились папки и авторан. Смею предположить что это вирус на компьютере.

    Машина очень медленная. даже при небольшом объёме диска - суммарно не больше 40 Гб скан сбора информации/лечения занимает порядка получаса, так что по возможности - прощу избежать повторного сканирования.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрволл.
    - Системное восстановление.
    Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('msupdate');
     QuarantineFile('E:\C\Settings\cl.exe','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\C\Settings\cl.exe','');
     QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
     QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\winacusb.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     DeleteFile('C:\WINDOWS\system32\itunesff.exe');
     DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
     DeleteFile('C:\C\Settings\cl.exe');
     DeleteFile('E:\autorun.inf');
     DeleteFile('E:\C\Settings\cl.exe');
     DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431');
     DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('msupdate');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Обновите базы AVZ!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

    Добавлено через 2 минуты

    А на счёт повторного сканирования: Вы нарушили Правила получения логов (отключить восстановление системы и обновить базы). Как мы можем Вам помочь, если Вы не следуете указаниям?
    Повторное сканирование - стандартная процедура, чтобы убедиться, что зараза удалена. Иной раз бывает, что сканировать приходится несколько раз в случае трудно убиваемой заразы. Так что запаситесь терпением, а мы постараемся не гонять Вас лишний раз.
    Последний раз редактировалось gjf; 26.06.2009 в 17:40. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Санкт-Петербург
    Сообщений
    39
    Вес репутации
    36
    хорошо, постараюсь впредь следовать инструкциям. про восстановление - честно забыл) базы обновил.


    после выполнения скрипта - скрытые папки остались. Можно ли их удалить?

    Заметил ещё одну вещь - в форуме была тема про z-connect. Как оказалось оно у меня тоже присутствует. Не уверен в достоверности информации, но было сказано что комп самопроизвольно пытался соединиться через модем. Но так как на нём присутствует ещё 3 соединения через модем, то я не уверен что то было, если и было, именно соединение z-connect. Но что странно - комп соединялся просто так. ни с того ни с сего. без какого либо прикосновения к нему, если так можно сказать.


    - Очистите темп-папки, кэш проводников и корзину.

    сделал через АВЗ.

    Карантин пытаюсь выслать...не получается...отказывается загружать.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Санкт-Петербург
    Сообщений
    39
    Вес репутации
    36
    карантин выслал

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    Пофиксите в HiJackThis:
    Код:
    O15 - Trusted Zone: *.p0rt2.com
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl60bf2.cab
    Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     DeleteFileMask('C:\Documents and Settings\User\','*.exe',false);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Rtlnic51.sys','');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
    BC_ImportAll;
    ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Скрытые папки можете поудалять. z-connect - тоже, далите это соединение.

    Учтите, что на Ваших флешках - зараза. Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
    Код:
    Windows Registry Editor Version 5.00
     
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
    "AutoRun"=dword:00000000
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    "NoDriveAutoRun"=dword:000000ff 
    
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
    "*.*"="" 
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\]
    "Start"=dword:00000004
    
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000FF
    "NoDriveAutoRun"=dword:000000ff
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
    "*.*"=""
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"
    Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

    Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.

    Загрузите карантин согласно Правил (Приложение 3).

    Соединение и папки удалось удалить?

  7. #6
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Санкт-Петербург
    Сообщений
    39
    Вес репутации
    36
    Соединение и папки удалил. В HiJackThis пофиксил. данные в реестр занёс, но потом подумал - то есть если скажем просто игнорить автозапуск и каждый раз при вставлении флешек запускать авз и удалять с них авторан и вирусы - можно жить и с автозапуском устройств ( ну тогда правда его суть теряется, так как им всё равно не пользуешься получается ).
    Скрипт не работает. Ошибка идентификатора DelFileMask 5:13

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    Скрипт исправил - попробуйте сейчас. И не забудьте потом про карантин.
    Дело в том, что вирус на флешках при включенном автозапуске выполняется каждый раз, когда флешку вставляешь или заходишь на неё Проводником.
    Если вирус новый - он не будет детектироваться антивирусом. И даже после того, как его добавят в базу при активном заражении удалить вирус может быть крайне сложно.

    Поэтому я и рекомендовал отключить автозапуск. То, что какие-то демонстрационные диски или автоустановки не будут запускаться - беда малая, потому что всегда можно зайти на диск и самому запустить нужный файл. А безопасность повыситься значительно.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\c\settings\cl.exe - Trojan.Win32.Buzus.bizq ( DrWEB: Trojan.Inject.5868, BitDefender: Trojan.Buzus.DI )
      2. c:\memory\s-v-6-2009\peace.exe - Trojan.Win32.Buzus.bhqc ( DrWEB: Trojan.Packed.2483, BitDefender: Trojan.Inject.UX )
      3. c:\windows\system32\msvcrtd.exe - Backdoor.Win32.Agent.alm ( DrWEB: DDoS.BEnergy, BitDefender: Backdoor.Agent.ALM )
      4. e:\c\settings\cl.exe - Trojan.Win32.Buzus.bizq ( DrWEB: Trojan.Inject.5868, BitDefender: Trojan.Buzus.DI )


  • Уважаемый(ая) NightNEo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Создаются и пропадают папки на диске С
      От strel12345 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.04.2012, 10:01
    2. Ответов: 5
      Последнее сообщение: 23.11.2009, 00:04
    3. Ответов: 1
      Последнее сообщение: 22.08.2009, 14:01
    4. Ответов: 11
      Последнее сообщение: 22.04.2009, 15:48
    5. Создаются папки которые не удалить
      От Alex_M в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.04.2008, 13:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00440 seconds with 17 queries