Вирус продолжает переименовывать папки

[Аделина]

Здравствуйте! К прошлому моему запросу я неправильно присоединила вложения, поэтому пытаюсь еще раз: в компьютере появилась папка Recycler, которая не удаляется, а размножает и переименовывает файлы. (это второй мой компьютер, ноутбук, стационарный мы, кажется, с Вашей помощью вылечили). Наверное, в ноутбуке есть что-то еще, потому что работает он очень медленно. Попытка просканировать его Сurelt не удалась - компьютер упорно на нем зависает. NOD 32 ничего не находит, и AVZ тоже ничего не обнаружил. Я сделала исследование системы, высылаю полученные логи. Подскажите пожалуйста, что делать дальше. С уважением, Аделина Владимировна.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WIN\Temp\pohci13F.sys','');
 DeleteService('pohci13F');
 DeleteFile('C:\WIN\Temp\pohci13F.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Аделина]

Здравствуйте! Я выполнила присланные Вами скрипты и выслала карантин. Обновила AVZ, сделала новые логи , присоединяю их к письму. К сожалению, файл RECYCLER, который я уничтожала перед этой работой, возник снова. Значит ли это, что вирус все еще сидит в компьютере?
С уважением, Аделина Владимировна.

[thyrex]

Приведите пример переименованной папки, пожалуйста

[pig]

RECYCLER - это, по идее хранилище пользовательских корзин.

[Аделина]

В первую очередь переименована папка recycled в RECYCLER. На форуме очень активно обсуждается этот вопрос, и не у меня одной возникла такая проблема.
Кроме этого возникла новая папка SYSTEM 1, в корневом каталоге. Это субдиректория, и она никаким образом не открывается и не удаляется. Эта папка видна только из-под старинного Волков-коммандера, а из Windows ее вообще не видно. Волков - это типа Far, но он еще проще и еще менее разборчив, ему все равно какие файлы удалять - открытые или скрытые. Так и Волков не может эту System удалить.
На втором моем компьютере, стационарном, NOD32 удалил этот вирус, работая в паре с Web, засунув его в карантин, как неизвестный и новый. И в том компьютере тоже возникала такая же папка System1, и она была набита моими переименованными фотографиями и документами, их были десятки, и в них нельзя уже было разобраться - у вcех были другие названия.Она тоже была невидима, я ее удалила, ну и потеряла вместе с ней все содержимое. Исходные папки с моими фотографиями есть, но они остались пустыми.
Web , кроме того,cообщил, что повреждена некая системная папка, которая переименовывает файлы, и он ее сам восстановил. Это все относится к стационарному компьютеру, который удалось вылечить. А сейчас мы пытаемся вылечить ноутбук, с ним NOD и Web не справились, он на них виснет.
В ноутбуке в корневом каталоге кроме этой System 1 висит еще с десяток невидимых из Windows файлов с расширениями ini,bin,sys,com,bat. Видимо, это тоже продукция вируса.

С уважением, Аделина Владимировна

[vegas]

В ноутбуке в корневом каталоге кроме этой System 1 висит еще с десяток невидимых из Windows файлов с расширениями ini,bin,sys,com,bat

В логе АВЗ эти файлы не фигурируют, найдите их на диске через АВЗ (Сервис - Поиск файлов на диске), добавьте в карантин и закачайте по ссылке вверху

[thyrex]

Кроме этого возникла новая папка SYSTEM 1

Именно так, а не SYSTEM~1, например?

кроме этой System 1 висит еще с десяток невидимых из Windows файлов с расширениями ini,bin,sys,com,bat.

boot.ini, bootfont.sys,config.sys, i.sys, msdos.sys, ntdetect.com, autoexec.bat - это они???

Скажите, Аделина Владимировна, Вы эти файлы и папки увидели только через Volcov Commander? У Вас показ скрытых и системных файлов в Windows включен?

[Аделина]

Здравствуйте! Извините за молчание, но я не успела ответить на последнее письмо - зловред-таки убил мой компьютер, включить его больше не удалось. Я махнула рукой и просто переустановила Windows. Благо, свои ценные материалы я копирую на другие носители. Теперь остается сделать все, чтобы вновь не подхватить эту инфекцию, и я воспользуюсь советами вашего форума.
Все-таки интересно, что это был за зверь. Папка, о которой вы спрашивали, действительно называлась SYSTEM~1. Кажется, и файлы назвались таким образом: boot.ini, bootfont.sys,config.sys, i.sys, msdos.sys, ntdetect.com, autoexec.bat. Возможно, у меня была выключена опция показа скрытых и системных файлов, поэтому эти папки я видела только через Волков.
С уважением, Аделина Владимировна

[Аделина]

Здравствуйте, дорогие специалисты. Моя печальная история не закончилась, и, вернувшись с дачи, я обнаружила, что в стационарном компьютере вновь появилась зловредная папочка RECYCLER, в корневом каталоге диска С. Почта работала нестабильно, хотя я сделала отдельную учетную запись. Этот вирус ловил уже однажды мой NOD32, в тот момент, когда компьютер просматривал Curelt. Видимо, они сработали в паре. NOD объявил, что нашел неизвестный вирус, и запрятал его в карантин, компьютеру после этого сразу стало хорошо, и папку RECYCLER я сразу смогла уничтожить (раньше она просто не убиралась).
Если бы Вы посоветовали, как вынуть из нодовского карантина эту информацию, я бы смогла переслать ее вам на анализ. Анализ с помощью АВЗ и HJT ничего не давал, логи были чистые.

Сurelt еще находил у меня на переносном диске, который я использую для дублирования информации, вирусы А0002708.ini и А0002897.exe. Что это за звери?

КАжется, я могла заразу вновь подхватить с сайта "Пробуждение Сознания", это мой любимый сайт. Но я проверяла, он не числится в зараженных.

С уважением и надеждой, Аделина Владимировна

[vegas]

Сurelt еще находил у меня на переносном диске, который я использую для дублирования информации, вирусы А0002708.ini и А0002897.exe. Что это за звери?

Только по имени установить зловреда невозможно

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены