Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

INNY WIRUS - Recycler

DidierDrigbi

Przez DidierDrigbi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

DidierDrigbi

DidierDrigbi

Opublikowano
Opublikowano

Witam.

 

Ostatnio mój komputer został zainfekowany nie jakim wirusem Recycler.

 

Co najważniejsze, tworzy, ukryte i tylko do odczytu, na dyskach (C,D i F) foldery Recycler (C/Recyler)

 

Próbowałem go usunąć poprzez usunięcie utworzonych przez niego wpisów rejestru:

 

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f rd /s/q C:\Recycler

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f rd /s/q D:\Recycler

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f rd /s/q F:\Recycler

 

Oraz usunięcie folderów utworzonych na dyskach C, D oraz F, CCleanerem.

 

Jednak na nie wiele to się zdało. Wirus nadal objawia się tym, że ciągle chce instalować jakieś aktualizacje (do Netframework 3 oraz 3.5 "aktualizacje zabezpieczeń") w ilości trzech.

 

Oprócz tego, po kolejnych próbach usunięcia (poprzez wpisy w oknie uruchom podane powyżej), za każdym razem przy następnym uruchomieniu komputera, ukrywa rozszerzenia plików oraz chronione i systemowe pliki. Można to w panelu sterowania zmienić i działa to. Chyba, że znowu spróbuję wykasować - wtedy znowu ukrywa. Proszę o jakieś informacje, co z tym zrobić.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

W raportach brak oznak infekcji. I na razie tu nie ma żadnych dowodów na jej obecność:

 

 

Co najważniejsze, tworzy, ukryte i tylko do odczytu, na dyskach (C,D i F) foldery Recycler (C/Recyler)

 

Zagadnienie ma dwa aspekty:

 

1. Te foldery zawsze będą na każdym z Twoich dysków:

 

Drive C: | 74,52 Gb Total Space | 8,40 Gb Free Space | 11,27% Space Free | Partition Type: NTFS
Drive D: | 232,88 Gb Total Space | 3,09 Gb Free Space | 1,33% Space Free | Partition Type: NTFS
Drive F: | 298,09 Gb Total Space | 1,79 Gb Free Space | 0,60% Space Free | Partition Type: NTFS

 

To są rzeczywiste foldery Kosza (na Pulpicie to jedynie wirtualny skrót do Kosza na C, każda partycja ma osobisty Kosz). Na systemie plików NTFS nazwa RECYCLER (XP) lub $Recycle.Bin (Vista / Windows 7), na systemie plików FAT32 lub FAT32 przekonwertowanego bez utraty danych na NTFS to Recycled. Foldery te są ukryte przez atrybuty HS = ukryty systemowy, czyli widzialne tylko po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego".

 

2. To zawartość RECYCLER-ów jest istotna. Mogą tam być wirusy lub i nie. Na razie nie podany żaden objaw, który wskazuje obecność infekcji w tych katalogach. Martwi Cię ich (normalna) regeneracja, ale zawartość w ogóle nie punktowana.

 

 

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f rd /s/q C:\Recycler

 

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f rd /s/q D:\Recycler

 

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f rd /s/q F:\Recycler

 

Nie rozumiem co to za dziwoląg z repliką komendy REG ... Jeśli już, to teoretyczna "prawidłowa" zawartość to:

 

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f
rd /s /q C:\Recycler
rd /s /q D:\Recycler
rd /s /q F:\Recycler

 

Użycie rd /s /q na folderze Kosza powoduje i tak regenerację tego folderu. I skąd wymyśliłeś klucz {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}, co go Ci pokazało?

 

 

Oprócz tego, po kolejnych próbach usunięcia (poprzez wpisy w oknie uruchom podane powyżej), za każdym razem przy następnym uruchomieniu komputera, ukrywa rozszerzenia plików oraz chronione i systemowe pliki. Można to w panelu sterowania zmienić i działa to. Chyba, że znowu spróbuję wykasować - wtedy znowu ukrywa.

 

Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Po tym skonfiguruj opcje widoku na pożądane, zresetuj system i podaj wyniki czy jest poprawa.

 

 

Wirus nadal objawia się tym, że ciągle chce instalować jakieś aktualizacje (do Netframework 3 oraz 3.5 "aktualizacje zabezpieczeń") w ilości trzech.

 

Tu bardzo wątpliwe, by wirus miał z tym cokolwiek wspólnego.

 

 

 

 

PS. W Dzienniku zdarzeń męczy błędy:

 

Error - 2012-07-07 11:45:55 | Computer Name = STEP207 | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi ZDPSp50 NDIS Protocol Driver z powodu następującego
 błędu:   %%2

 

Kontra wyszczerbione sterowniki w logu:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)

 

Posłuż się Autoruns, w karcie Drivers skasuj te wystąpienia.

 

 

 

 

.

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...