Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не отображаются файлы и папки системного диска C (http://forum.oszone.net/showthread.php?t=234109)

Jetsqut 05-05-2012 18:52 1911116
Не отображаются файлы и папки системного диска C
 
Доброго времени суток.
Вин ХП СП3 + Нод32
Сегодня столкнулась с такой проблемой - диск С не отображает файлы и папки. При создании новой папки в корне диска она появляется, но если выйти и снова зайти - пропадает.
К тому же, после первой перезагрузки системы, Нод32 выдал сообщение об обнаружении трояна в процессе эксплорер.
Скриншоты приложу через пару минут, как только курейт закончит проверку папки Windows и Documents and Setting.

Jetsqut 05-05-2012 19:10 1911131
Курейт ничего не нашел не при выборочной проверке (Windows, DaS) не при быстрой.

Прикрепляю скриншоты ругательств нода.



Диск С:




Забыла написать, что в свойствах папки везде стоит галочка "отобразить".

iskander-k 05-05-2012 19:41 1911141
Выложите логи в соответствии с этими инструкциями.

Jetsqut 05-05-2012 20:23 1911161
Вот, не получается.

thyrex 05-05-2012 20:28 1911163
Выложите на обменник, например, zalil.ru и пришлите ссылки

Jetsqut 05-05-2012 20:29 1911164
Сделано:
http://zalil.ru/33188799
http://zalil.ru/33188801
http://zalil.ru/33188803

alex_sev 05-05-2012 21:31 1911191
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Nastya\Главное меню\Программы\Автозагрузка\2MqlB2fUPvw.exe','');
 DeleteFile('C:\Documents and Settings\Nastya\Главное меню\Программы\Автозагрузка\2MqlB2fUPvw.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Jetsqut 05-05-2012 21:48 1911200
Отправила архив "карантин" с помощью названной вами формы.

log и info:
http://zalil.ru/33189165
http://zalil.ru/33189167

Как только Malwarebytes закончит сканирование выложу рез-ты.

alex_sev 05-05-2012 22:11 1911218
В карантин попался: 2MqlB2fUPvw.exe - Trojan-Spy.Win32.Carberp.kml (по Касперскому), Trojan.DownLoader6.5894 (по Др Вебу)

Jetsqut 05-05-2012 22:20 1911225
Цитата:
Цитата alex_sev
В карантин попался: 2MqlB2fUPvw.exe - Trojan-Spy.Win32.Carberp.kml (по Касперскому), Trojan.DownLoader6.5894 (по Др Вебу) »
Простите за глупый вопрос, но какие действия мне предпринимать дальше?

Malwarebytes еще не закончил сканирование. И, видимо, закончит не скоро.

alex_sev 05-05-2012 22:23 1911229
Подождем MBAM) Затем будем продолжать.
Пока смените все пароли (Вебмани, Контакт и проч.) троян мог успеть их увести

Jetsqut 05-05-2012 22:25 1911231
Охчерт, ВНЕЗАПНО, появилось содержимое папки C. Сканирование все еще не закончено. Я не знаю, с чем это связано, т.к. никаких действий не совершала после выполнения скриптов.



А пока загружала скрин нод выдал вот это:

Jetsqut 05-05-2012 22:45 1911247
Лог из МВАМ:
http://zalil.ru/33189491

С троянами что делать? Удалять?


alex_sev 05-05-2012 22:52 1911254
Удаляйте кроме вот этого:

Код:
D:\Мои документы\Генератор кодов.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Затем после перезагрузки:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\42C2.tmp','');
 DeleteFile('C:\WINDOWS\system32\42C2.tmp');
 DeleteFile('C:\plg.txt');
 DeleteFileMask('C:\0z1nID4I3qf0Sfb\', '*.*', true);
 DeleteDirectory('C:\0z1nID4I3qf0Sfb');
 DeleteFileMask('C:\Documents and Settings\Nastya\Application Data\0z1nID4I3qf0Sfb', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Nastya\Application Data\0z1nID4I3qf0Sfb');
 DeleteFileMask('C:\Documents and Settings\Nastya\Application Data\8IYFvslh6mkpWP3', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Nastya\Application Data\8IYFvslh6mkpWP3');
 DeleteFileMask('C:\8IYFvslh6mkpWP3', '*.*', true);
 DeleteDirectory('C:\8IYFvslh6mkpWP3');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\c34fb341bc07114db9661395dda5d8f2b6bd10fa');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

+
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Начать проверку";
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  9. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

+
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.

Jetsqut 05-05-2012 23:07 1911263
Архив "карантин" отправила.

TDSSKiller ничего не нашел:
http://zalil.ru/33189603

лог SC:
http://zalil.ru/33189611

А обновить НОД по прежнему не удается.
Очистила кэш обновлений НОДа и он наконец дал себя обновить.
Спасибо огромнейшее за помощь, вы просто мастер своего дела. Надеюсь когда-нибудь научиться так же, как и вы владеть компьютером.
Еще раз спасибо :)

alex_sev 05-05-2012 23:15 1911267
Цитата:
Internet Explorer 7 Out of date!
Обновите Internet Explorer даже если им не пользуетесь.

Цитата:
Java(TM) 6 Update 29
Java(TM) 6 Update 7
Java version out of date!
Обновите Java

Смените все важные пароли, если этого еще не сделали.

Ознакомьтесь с этими рекомендациями

Jetsqut 05-05-2012 23:24 1911275
Сделала все, как вы сказали.
Огромное спасибо еще раз.

alex_sev 05-05-2012 23:27 1911278
И Вам чистого интернета

iskander-k 06-05-2012 15:10 1911457
Цитата:
Цитата Jetsqut
Надеюсь когда-нибудь научиться так же, »
Можете попробовать онлайн Курсы по оказанию помощи в лечении ОС пользователя от вредоносных программ"


Время: 12:36.

Время: 12:36.
© OSzone.net 2001-