Столкнулся впервые с таким явлением

@SergEO · Регистрация: 28.08.2011

Студворк — интернет-сервис помощи студентам

Здравствуйте!
Пропали некоторые папки (точнее стали как скрытые и на компе и на съёмном винте. при подключении винта к другому компу папки записанные с моего компа не видит). Файла virusinfo_syscheck.zip не нахожу... Как вариант забыл перегрузить после выполнения 3 скрипта перед выполнением 2-го.

@Katharsis · 28.08.2011, 21:14

Сообщение от SergEO

Файла virusinfo_syscheck.zip не нахожу

сделайте ещё раз - ст скрипт 2

@SergEO · 29.08.2011, 23:39 **[ТС]**

файл во вложении

@Katharsis · 30.08.2011, 15:39

1. В целях безопасности скачайте и установите Internet Explorer 8
2.AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
begin
ExecuteRepair(8);
RebootWindows(true);
end.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@SergEO · 31.08.2011, 01:16 **[ТС]**

вот что получилось

@Katharsis · 31.08.2011, 01:56

из найденного malwarebytes удалите:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Explorer\Advanced\St art_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Explorer\Advanced\St art_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Explorer\Advanced\St art_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Explorer\Advanced\St art_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные папки:
c:\documents and settings\Admin\application data\archsoft (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\WINDOWS\system32\SelfDel.bat (Malware.Trace) -> No action taken
e:\personal data\Фильмы\realiz_finplan (e)\autorun.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\rubashka.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\a.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\bander.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\wfont.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel3.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel4.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel5.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel6.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel7.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\_todel8.png (Trojan.Agent) -> No action taken.

лог повторите.

@SergEO · 31.08.2011, 12:21 **[ТС]**

теперь вот так

@Katharsis · 31.08.2011, 15:03

ок, сейчас как ощущения?

@SergEO · 31.08.2011, 16:01 **[ТС]**

Malwarebytes выдаёт периодически что блокировал исходящую попытку соединения к вредоносному сайту. Папки остаются скрытыми и изменить их статус не удаётся. Explorer 8 тормозит, Mozilla работает шустрее.

@Katharsis · 31.08.2011, 16:45

скрытые папки где находятся?

попробуйте изменить атрибуты командой (в командной строке от админа, скопировать и вставить):

attrib -s -h "X:\каталог\*.*" /s /d

где X:\каталог\ - скрытый каталог, в котором могут находиться другие скрытые каталоги и файлы. Подставьте вместо этого свои данные.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

@SergEO · 31.08.2011, 18:39 **[ТС]**

если правильно понял про командную строку: пуск-выполнить и в эту строку вписал (окно ms dos промелькнуло и более никаких реакций), поначалу думал ничего не дало. Продолжил далее, скачал combo fix, запустил, в процессе выскочило сообщение что обнаружена ошибка и приложение pev.3XE будет закрыто, я нажал не отправлять отчёт. (Интернет беспроводной не отключился) и на Complete Stage 48, завис... Нажал сеть - просто вырубил. Включил заново, запустил, (без интернета) сообщение про 3ХЕ снова... но процесс не остановился. Далее - программы в процессе загрузки из автозапуска , было предложено завершить (что и сделал) и через какое то время появился отчёт (который Вам и высылаю).
Затем запустил антивирусы Avast и Malwarebytes, включил инет, проверил папки (стали видны)кроме System Volume Information (предполагаю что так и должно быть...?), malwarebytes в процессе написания письма и находясь инете уже не матюкается...

@Katharsis · 31.08.2011, 18:57

Установочный диск с дистром winXP sp3 есть?

@SergEO · 31.08.2011, 22:20 **[ТС]**

да, есть

@Katharsis · 31.08.2011, 22:32

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
procedure FileRestore(CABNameFile, OriginalNameFile : String);
var i : integer;
begin
 ShowMessage('Вставьте диск с Windows');
 for i := 65 to 90 do
  if(GetDriveType(Chr(i) + ':\') = 5) and (FileExists(Chr(i) + ':\i386\' + CABNameFile)) then 
    begin
      ExecuteFile('expand.exe ' + Chr(i) + ':\I386\' + CABNameFile + ' %windir%\System32\' + OriginalNameFile, '', 0, 10000, true);
      AddToLog('Замена успешно произведена из ' + Chr(i) + ':\I386\');
    end;
SaveLog(GetAVZDirectory + 'userinit.log');
end;
 
begin
 FileRestore('userinit.ex_', 'userinit.exe'); 
end.

userinit.log из папки с avz выложите

@SergEO · 31.08.2011, 23:35 **[ТС]**

AVZ пишет , сто скрипт выполнен без ошибок

@Katharsis · 31.08.2011, 23:40

Сейчас ещё что то беспокоит?

@SergEO · 01.09.2011, 00:15 **[ТС]**

Скрытые папки остались на рабочем столе, атрибуты сменить не удаётся, попробовал так: attrib -s -h "С:\Рабочий стол\*.*" /s /d ничего не дало. Изменил свойства папки: не показывать скрытые файлы и папки. Соответственно папки не отображаются, при изменении на : отображать не появляются

@Katharsis · 01.09.2011, 00:21

А если так?

attrib -s -h "%userprofile%\Рабочий стол\*.*" /s /d

Если не получится, попробуйте сначала сделать себя владельцем и получить права. как стать владельцем файла или папки
потом ещё раз сменить атрибуты.

@SergEO · 01.09.2011, 01:20 **[ТС]**

Получилось! Благодарю Вас за терпение! Надеюсь всё.

P.S. Если Malwarebytes блокирует исходящее обращение это значит ещё что то есть на компе? Или я неправильно трактую слово исходящее?

@Katharsis · 01.09.2011, 08:43

Сообщение от SergEO

Если Malwarebytes блокирует исходящее обращение это значит ещё что то есть на компе? Или я неправильно трактую слово исходящее?

Не вижу больше ничего плохого. Но чтобы убедиться, сделайте ещё раз avz - стандартный скрипт 2 и rsit.

а так же: деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	31.08.2011, 15:03
	ок, сейчас как ощущения? 1

@SergEO 0 / 0 / 0 Регистрация: 28.08.2011 Сообщений: 39
	31.08.2011, 16:01 [ТС]
	Malwarebytes выдаёт периодически что блокировал исходящую попытку соединения к вредоносному сайту. Папки остаются скрытыми и изменить их статус не удаётся. Explorer 8 тормозит, Mozilla работает шустрее. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	31.08.2011, 18:57
	Установочный диск с дистром winXP sp3 есть? 1

@SergEO 0 / 0 / 0 Регистрация: 28.08.2011 Сообщений: 39
	31.08.2011, 22:20 [ТС]
	да, есть 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	31.08.2011, 23:40
	Сейчас ещё что то беспокоит? 1

@SergEO 0 / 0 / 0 Регистрация: 28.08.2011 Сообщений: 39
	01.09.2011, 00:15 [ТС]
	Скрытые папки остались на рабочем столе, атрибуты сменить не удаётся, попробовал так: attrib -s -h "С:\Рабочий стол\." /s /d ничего не дало. Изменил свойства папки: не показывать скрытые файлы и папки. Соответственно папки не отображаются, при изменении на : отображать не появляются 0

@SergEO 0 / 0 / 0 Регистрация: 28.08.2011 Сообщений: 39
	01.09.2011, 01:20 [ТС]
	Получилось! Благодарю Вас за терпение! Надеюсь всё. P.S. Если Malwarebytes блокирует исходящее обращение это значит ещё что то есть на компе? Или я неправильно трактую слово исходящее? 0