Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Перестали открываться папки на съёмном жёстком диске (http://forum.oszone.net/showthread.php?t=241551)

Анастасия85 28-08-2012 18:14 1978644
Перестали открываться папки на съёмном жёстком диске
 
Вложений: 3
Привет. Помогите пожалуйста. На диске (F) все папки отображаются как ярлыки, доступна только папка с фильмами. При попытке открыть папки выскакивает ошибка со скрина. Что делать? Я в панике, у меня на этом жёстком все фотки сына с рождения, свадебное видео и ещё много чего. Для меня это очень важно. Подскажите, что делать?
Ещё периодически не запускаются браузеры. Запущенный процесс в диспетчере задач есть, а браузер не открывается. Появляется какая-то критическая ошибка, после нажатия на ОК синий экран смерти.

thyrex 28-08-2012 18:40 1978661
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\Студент ВИ МВД\криминалистика\бланки 2007 год.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Анастасия85 28-08-2012 21:40 1978786
Вложений: 1
Всё сделала, лог во вложении. Что дальше?
Кстати, после всего этого касперыч нашёл и сам удалил троянов с жёсткого, и исчезли ярлыки папок оттуда. Если честно, меня это как-то пугает.

alex_sev 28-08-2012 21:59 1978799
Наоборот должно перестать пугать.

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\', '*.tmp', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\', '*.exe', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\RECYCLER', '*.*', false, '', 0, 0);
 QuarantineFile('C:\Documents\Downloads\аоаоывяыеч','');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.tmp', false);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.exe', false);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\RECYCLER', '*.*', true);
 DeleteFileMask('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\RECYCLER');
 DeleteDirectory('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Подготовьте лог OTL by OldTimer

Анастасия85 28-08-2012 22:44 1978831
где посмотреть логи ОТЛ? В корне диска С нет.

alex_sev 28-08-2012 22:49 1978833
Откуда запускали OTL в той же папке

Анастасия85 28-08-2012 23:07 1978848
Вложений: 1
ура!!! Папки появились, они помечены как скрытые, но я их уже вижу, это радует. Появились файлы и папки, которых раньше не было: $RECYCLE.BIN, System Volume Information, usecure, msdownld.tmp, RECYCLER, comment.htt, desktop.ini, Thumbs.db. Что это? И нужно ли с ними что-то делать.

Анастасия85 28-08-2012 23:10 1978853
и вот Your file of 194.1 Kb bytes exceeds the forum's limit of 97.7 Kb for this filetype., не могу вложить лог ОТЛ

alex_sev 28-08-2012 23:11 1978854
Запакуйте его в архив и выложите

Анастасия85 28-08-2012 23:16 1978857
Вложений: 1
вот он, родной :yahoo:

alex_sev 28-08-2012 23:20 1978859
Минут 10 - 15 подождите пока я его посмотрю, а пока:
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Анастасия85 28-08-2012 23:29 1978862
Вложений: 1
опять пропали папки с диска, лог во вложении.

alex_sev 28-08-2012 23:46 1978876
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL

    :Services

    :Files
    D:\Студент ВИ МВД\криминалистика\бланки 2007 год.exe
    F:\comment.htt
    F:\desktop.ini
    F:\Thumbs.db
    attrib.exe -s -h -r -a f: /s /d /c
    autorun.inf /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Анастасия85 28-08-2012 23:53 1978880
а все остальные настройки как и в первый раз при сканировании выставить?

alex_sev 28-08-2012 23:59 1978882
Нет настроек не нужно просто копируете вставляете и нажимаете Run Fix не перепутайте с "Run Scan"

Анастасия85 29-08-2012 12:07 1979131
Вложений: 1
нажимаю ран фикс, появляется ошибка OTL: Cannot create file C:\WINDOWS\Sistem 32\drivers\etc\Hosts, после чего компьютер не перезагружается. Что делать? Снова периодически не запускаются браузеры, появляется ошибка из вложения.
Ещё одна странность: если сначала запускаю браузер, после этого подключаю интернет - всё ОК, если наоборот сначала подключаю интернет - постом запускаю браузер - он не открывается.

alex_sev 29-08-2012 13:19 1979167
Подправил скрипт, выполняйте

Цитата:
Цитата Анастасия85
если наоборот сначала подключаю интернет - постом запускаю браузер - он не открывается »
Возможно произошло повторное заражение, после скрипта OTL выполните повторно правила и приложите логи AVZ и RSIT

Анастасия85 29-08-2012 17:21 1979336
Вложений: 2
папки какие-то полупрозрачные, как будто скрытые. Но открываются. Не знакомые файлы и папки тоже остались.

alex_sev 29-08-2012 17:45 1979349
В логах страшного нет. Отменяйте у своих папок атрибуты скрытый, системный. Остальные оставшиеся неизвестные - это системные папки и файлы - не удаляйте их. Затем в свойствах папок можете отключить показ скрытых файлов и папок.

Снова запустите OTL и нажмите кнопку CleanUp

Обязательно обновите:

Java
Adobe Flash Player

Проведите полное сканирование компьютера вашим антивирусом.

Ознакомьтесь с этими рекомендациями

Анастасия85 29-08-2012 17:47 1979351
спасибо :up

аааааааааааааа, после перезагрузки опять папки не показывает, даже если в свойствах папки ставлю галки показывать системные папки и показывать скрытые файлы и папки... перед перезагрузкой заходила в свойства этих папок, у них не возможно снять галку скрытый, поле не доступно...

поняла... они теперь как защищённые системные папки. Как это отменить?

thyrex 29-08-2012 21:45 1979490
Вирус скрыл настоящие файлы и папки. А вместо них подсунул ярлыки со значком папки

Файловый менеджер Total Commander у Вас установлен? Если нет, скачайте и установите
Включите в его настройках показ скрытых и системных файлов и папок
С его помощью (Файлы - Изменить атрибуты) уберите атрибут "скрытый" с Ваших настоящих файлов и папок, а лжепапки-ярлыки удалите


Время: 22:51.

Время: 22:51.
© OSzone.net 2001-