0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
1 | |
На диске D вместо папок и файлов только один ярлык Root_Drive26.07.2015, 14:44. Показов 5726. Ответов 45
Метки нет (Все метки)
Здравствуйте!
25.07.2015 принесли ноутбук с просьбой удалить вирусы. Первое, что проверили - ярлыки запуска браузеров. Все ссылались на bat-файлы. Заменили их ярлыками со ссылками на правильные exe-файлы. Заменяли пока не взялись за ярлык браузера Yandex. В отличие от других, он не в папке Program files, а в Documents and Settings. Этой папки на диске С не было... Как и всех остальных привычных папок на системном диске, в том числе и папки Windows. На первый взгляд. В режиме отображения скрытых и системных файлов и папок все оказалось на месте. Зато там были exe-файлы Documents, Movies, Music,.. Secret с иконками, идентичными привычным иконкам папок, а также ярлыки с именами привычных папок системного диска, которые ссылались на exe-файлы с именами 1010 и 505040. Так или иначе со всем этим добром удалось справиться - сейчас сообщение набирается как раз с этого ноутбука. Но что делать с диском D? Мой компьютер показывает, что на нем из 29 Гб свободно 14,8 Гб. Но на диске всего 4 элемента общим объемом 44 Мб: Корзина, папка Root_drive, одноименный ярлык (только он не скрыт и не системный), который ссылается на файл D:\1010.exe, и этот самый файл. В папке Root_drive папка USB_DRIVE и Корзина. В этой папке USB_DRIVE папка Root_drive. В этой папке Root_drive папка USB_DRIVE... И так далее. Сколько таких вложений подсчитать не удалось - много. В каждой папке были те самые exe-файлы Documents, Movies, Music,.. Secret с иконками, идентичными привычным иконкам папок, а также exe-файлы с именами 1010 и 505040. Эти exe-файлы начали было удалять вручную, но когда, наконец поняли, что их число несметно, поручили это дело DrWeb (CureIt) и Авасту (до загрузки ОС). Но, как видно, по крайней мере один 1010.exe все-таки остался. Что делать дальше? Где искать 15 Гб информации? Прошу помочь. Спасибо.
0
|
26.07.2015, 14:44 | |
Ответы с готовыми решениями:
45
Кракозябры вместо нормальных названий файлов и папок на внешнем жестком диске Ярлыки вместо папок на внешнем диске На внешнем жестком диске вместо папок появились ярлыки Поиск файлов на диске, за исключением скрытых файлов и папок |
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
26.07.2015, 14:59 | 2 |
Выполните скрипт в AVZ
Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\M-505045868329384574384300055020\winsvc.exe',''); QuarantineFile('C:\WINDOWS\M-505045835374846834537486967020\windrv.exe',''); QuarantineFile('C:\WINDOWS\M-505044846806975864246247267020\windrv.exe',''); QuarantineFile('C:\WINDOWS\M-505034039586930203940876\winsvc.exe',''); QuarantineFile('C:\WINDOWS\M-505028766141577986342699402045\winsvc.exe',''); QuarantineFile('C:\WINDOWS\M-505025040068479870696960805245050\winmgr.exe',''); QuarantineFile('C:\WINDOWS\Installer\{ACC15C4E-EB16-8B3F-5552-ACBF344306E5}\syshost.exe',''); QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe',''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files\Opera\launcher.bat',''); QuarantineFile('C:\Program Files\Google\Chrome\chrome.bat',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.bat',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\ddeeaccdc.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\csrss.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\bcaddda.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Windows\IEUpdate\sdbinst.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Windows\IEUpdate\control.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Windows\IEUpdate\autochk.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\usetup.exe',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\usetup.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Windows\IEUpdate\autochk.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Windows\IEUpdate\control.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Windows\IEUpdate\sdbinst.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\bcaddda.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\csrss.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\ddeeaccdc.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\svchost.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.bat','32'); DeleteFile('C:\Program Files\Google\Chrome\chrome.bat','32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat','32'); DeleteFile('C:\Program Files\Opera\launcher.bat','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32'); DeleteFile('C:\WINDOWS\Installer\{ACC15C4E-EB16-8B3F-5552-ACBF344306E5}\syshost.exe','32'); DeleteFile('C:\WINDOWS\M-505025040068479870696960805245050\winmgr.exe','32'); DeleteFile('C:\WINDOWS\M-505028766141577986342699402045\winsvc.exe','32'); DeleteFile('C:\WINDOWS\M-505034039586930203940876\winsvc.exe','32'); DeleteFile('C:\WINDOWS\M-505044846806975864246247267020\windrv.exe','32'); DeleteFile('C:\WINDOWS\M-505045835374846834537486967020\windrv.exe','32'); DeleteFile('C:\WINDOWS\M-505045868329384574384300055020\winsvc.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Выполните скрипт в AVZ Код
begin CreateQurantineArchive('c:\quarantine.zip'); end. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
26.07.2015, 16:27 [ТС] | 3 |
Quarantine.zip отправлен при помощи формы.
Остальные файлы в приложении.
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
26.07.2015, 19:14 [ТС] | 5 |
Диск D: локальный.
Делать лог МВАМ?
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
26.07.2015, 19:32 | 6 |
Конечно. При сканировании МВАМ отметить все доступные диски
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
27.07.2015, 01:26 [ТС] | 7 |
Лог МВАМ в приложении. Его пришлось заархивировать, т.к. в формате txt он превысил предельный размер.
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
27.07.2015, 09:49 | 8 |
Удалите в МВАМ все, кроме
Код
Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [99c38462474357df10699049d928ea16],
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
27.07.2015, 10:00 [ТС] | 9 |
Ответ МВАМ: "0 угроз было успешно помещено в карантин". Кнопка "Завершить" не активна.
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
27.07.2015, 10:04 | 10 |
Вы запускали повторное сканирование МВАМ? Без этого невозможно что-либо отметить и удалить
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
27.07.2015, 10:15 [ТС] | 11 |
Повторное сканирование не запускали. В прежнем окне программы сняли выделение с указанной вами строки, отметили невыделенные строки из реестра и нажали кнопку Удалить выбранное. В ответ получили то сообщение:"0 угроз было успешно помещено в карантин".
Похоже, без выхода из программы повторное сканирование не запустить. Вышли. Запустили...
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
27.07.2015, 10:31 | 12 |
Стоп. Т.е. окно программы было открыто после окончания сканирования и до момента моего ответа?
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
27.07.2015, 10:54 [ТС] | 13 |
Да.
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
27.07.2015, 11:29 | 14 |
Тогда заново сканировать не нужно.
Хм, а если вручную удалить папку d:\root_drive\usb_drive?
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
27.07.2015, 13:28 [ТС] | 15 |
Проверка идет уже почти полтора часа. Проверен диск С. На нем, кроме неудаленного hidcon, угроз не обнаружено.
Проверяется диск D. Те файлы exe все еще есть, но МВАМ на них не реагирует. Периодически наблюдая за ходом первой проверки, мы обратили внимание, что начиная с какого-то уровня вложенных папок root_drive\usb_drive... лежат наши 15 Гб информации. Их бы достать. Если это возможно. А Мой компьютер показывает что папка d:\root_drive весом всего 85 байт... Добавлено через 10 минут Попробовал "спуститься" по вложенным папкам. Дважды кликнул по очередной папке 24 раза. Больше "спускаться" не дает. Все пройденные папки файлов не имеют. В них только одна очередная папка. Только в самой первой папке есть еще Корзина. А МВАМ, видимо, может спуститься "ниже" - сейчас он на каких-то уровнях, как мы уже сообщали, проверяет те самые ехе-файлы... По опыту первой проверки, когда МВАМ доберется до нашей информации, станет проверять ее. Добавлено через 2 минуты Проверка идет уже час 55 мин. Обнаружена только одна угроза (тот оставленный нами файл на диске С) Добавлено через 1 час 2 минуты Проверка идет почти 3 часа. Проверено 70500+ объектов. МВАМ добрался до наших данных. Добавлено через 19 минут Если попробовать переносить в корень диска D: каждую очередную папку, вложенную в предыдущую? Только - как? Вручную, наверное, не получится - есть ограничения на длину пути, глубину вложений. Как эти ограничения обходит МВАМ?
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
27.07.2015, 13:49 | 16 |
Нет никаких идей по этому поводу
На ошибки пробовали проверят диск D? Можно было бы, конечно, попробовать удалить ярлык, но я опасаюсь, что данные можно потерять Total Commander есть у Вас на компьютере?
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
27.07.2015, 13:59 [ТС] | 17 |
На D: только ярлык не системный и не скрытый (ссылается на D:\1010.exe). Кроме него в корне диска сама одноименная папка с множеством вложений, Корзина и файл 1010.ехе. Все они скрыты.
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
27.07.2015, 14:45 | 18 |
Total Commander есть у Вас?
0
|
0 / 0 / 0
Регистрация: 26.07.2015
Сообщений: 25
|
|
27.07.2015, 18:11 [ТС] | 19 |
Commander найдем.
Проверка завершена. Кроме 1-й угрозы на диске С, ничего не обнаружено. Оставляем? Удаляем? Что делаем с Commander'ом? Добавлено через 39 минут Чем посоветуете проверить диск D:? Штатные средства WinXP ничего не находят. Предлагаете Commander'ом перемещать вложенные папки в корень?
0
|
13099 / 7250 / 1535
Регистрация: 06.09.2009
Сообщений: 26,481
|
|
27.07.2015, 18:17 | 20 |
Устанавливайте Total Commander, включите в его настройках показ скрытых и системных файлов и сделайте нормальный скриншот панели с открытым диском D
0
|
27.07.2015, 18:17 | |
27.07.2015, 18:17 | |
Помогаю со студенческими работами здесь
20
Ярлык .ink на флешке вместо файлов Вирус, который прячет информацию на дисках и флешках в нечитаемую папку, а вместо этого размещает на диске/флешке ярлык этой папки Поиск файлов на диске с исключением папок Подскажите как получить список всех папок и файлов на диске С Как посчитать сколько на указанном пользователем диске всего файлов и папок? На флешке вместо файлов и папок появились ярлыки Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |