Вирус Hidden object или не вирус? Помогите избавится!

vintage

Пользователь
Пользователь
Сообщения
168
Реакции
24
Всем доброго времени суток, помогите разобраться с вирусом(а может просто глюком) на компе.
Дело вот в чем, в начале января принёс флешку, втавил в комп, так как у меня установлен KIS 2009 полностью обновленный, он обнаружил вирусы трояны и т.п. еще установлен USB DISK SECURITY, он тоже постарался, в общем я думал все ок, захожу во флешку двойным кликом, и опа, выходи окно что "Приложение 0EAC9.EXE помощено в Слабые ограничения" и флешка не открывается, а выходит окно с выбором программы для открытия флешки( в общем похоже на обычный авторан)но, дело в том что KIS его не определил, пришлось флешку форматировать после извлечения нужной информации, но после этого я заметил что такое ("Приложение 0EAC9.EXE помощено в Слабые ограничения") окно стало появляться просто при работе, или даже при простое компьютера, стал искать в чем дело, а это приложение-0EAC9.EXE к тому же стало менять свое имя и и стало уже 0EAC9.EXE и R82X5XP.EXE и P7YM7XP.EXE по очереди, систему чистил при помощи полного скана KISa, Dr.Web CureIt последнего обновления, AVZ, Spyware Cease.
Результата ноль, ничего не нашли, ниже прикрепил скрин окна KIS, посоветуйте чем можно излечить!



[ADMIN="SerberXXX"]
Помещайте новые темы в ПРАВИЛЬНЫЕ разделы. Ну и как то оформлено все сумбурно - старайтесь избегать такого количества информации в одном предложении... ;)[/ADMIN]
 

ФдуЧ

Well-known member
VIP
Сообщения
838
Реакции
1,233
Я б даже сказал, не просто вирус, но руткит.
Попробуйте сначала gmer, логи сохраните и приложите сюда - посмотрим
 

vintage

Пользователь
Пользователь
Сообщения
168
Реакции
24
ФдуЧ,

При помощи стандартного поиска нашел имя файла идентичное тому что отоброжается как ПО, сейчас попробую GMER

 

vintage

Пользователь
Пользователь
Сообщения
168
Реакции
24
GMERом просканил, вроди бы все ок, ну или я непонял как он это делает, начнем с того что при полнойм сканировании системы комп постепенно зависает, в проть до полного тормоза, а в некоторых случаях просто напросто выбивает в перезагрузку, тестил при выключении всех пройессов не связанных с работой ОС, и сова вопрос, что делать ?


 

S_I

Ветеран
Ветеран
Сообщения
111
Реакции
156
vintage,
Так убери эти отмеченные файлы из С:\WINDOWS\Prefetch зачем им стартовать с виндой.(в Prefetch на снимке с правой стороны на 2 пункта ниже от отмеченного ещё подозрительный файл)
Кроме того Поиском винды по Оси посмотри где экзешники засели и тоже поудаляй.
Проверься в безопасном режиме или с ливе СД.
 

vintage

Пользователь
Пользователь
Сообщения
168
Реакции
24
S_I,
Хочу спросить, для чего вообще нужна директория С:\WINDOWS\Prefetch?, какую функцию выполняют файлы с расширением ".pf" ? и не может ли быть что эта файл какой либо программы? если даже не программы то возможно это мусор от руткита, EXE файлов ОСовский поиск найти не может, все что нашел это вот это, но и они пропали после чистки системы утилитой для очистки реестра и ненужных фалов !

(в Prefetch на снимке с правой стороны на 2 пункта ниже от отмеченного ещё подозрительный файл)
напишите пожалуйста имя файла что имелли ввиду, вот что у меня в этой папке сейчас после чистки :

 

ФдуЧ

Well-known member
VIP
Сообщения
838
Реакции
1,233
vintage, Те файлы, что вы нашли - всего лишь записи префетча для ускорения загрузки этих подозрительных ехешников.
Теоретически, достаточно, запустив gmer, на вкладке Rootkit выбрать системный диск и нажать Scan. Если gmer виснет - попробуйте снять галку с драйверов...
Лог должен быть довольно большой, скриншотом его не взять - сохраните и прикрепите к сообщению.
Можно и логи AVZ тоже прикрепить...
 

iMo$

Как iPhone...
Ветеран
Сообщения
1,187
Реакции
1,778
vintage,
Всякий раз при включении компьютера Windows отслеживает способ его запуска и приложения, которые обычно открываются. Эти сведения сохраняются Windows в папке Prefetch в виде файлов небольшого размера. При следующем включении компьютера Windows обращается к данным файлам для ускорения процесса запуска.

Папка Prefetch вложена в системную папку Windows и поддерживается самостоятельно, поэтому нет необходимости в ее удалении или очистке содержимого. Если эту папку очистить, то в следующий раз для загрузки Windows и запуска приложений потребуется больше времени.
 
Последнее редактирование модератором:

harrison_pw

Пользователь
Пользователь
Сообщения
31
Реакции
33
Vintage,насколько мне известно,Префетч - это механизм "предварительной выборки",или по русски говоря,типа "умная" предзагрузка избранных приложений,что-то типа того. Не каждый специалист в Майкрософт знает о работе и устройстве этого механизма.
Знаю некоторых людей,которые вообще удаляют всё нах из папки Префетч и живут. Сам не пробовал,так как Префетч мне не докучает:biggrin:
На будущее посоветую не пользоваться программами,типа блокировщиков флешек,USB портов и тд. Толку от них,что от радиации салфеткой прикрываться,ИМХО.
Также порекомендую не пользоваться комбайнами Касперского,этот комбайн в пылу работы иногда систему рушит вместе с вирусами.
Совет,поставить NOD или Авиру и пользоваться встроенным брандмауэром Виндоус. Начиная с WindowsXP\SP2,встроенные брандмауэры Windows ничем не хуже(иногда и лучше),чем в Кисе и Аутпосте. Проверено! ВСЁ ГЕНИАЛЬНОЕ - всегда ПРОСТО!
Похоже,что у тебя либо свежий руткит,либо новый полиморфный червь.
Будь я на твоём месте,я бы ссыканул и переустановил систему(подстраховался). Конечно может это безобидный глюк,а может оказаться и не глюк...:morning1:
P/S. Забыл... Попробуй вручную удалить всё из папок Temp(предварительно закрыв все программы). Если что-то там не удалится воспользуйся программами типа Unloker. Гадёныши частенько вьют гнездо в папке Temp. Удачи.
 

rafgood

Проверенный
Проверенный
Сообщения
359
Реакции
223
[email protected],
полностью согласен, я сам в свойствах ярлыка приписываю /Prefetch:1 для ускоренного запуска некоторых приложений и прог.
кстати методом поиска правильный метод(ИМХО), твой "скрытый объект" это всё таки файл только помимо системного юзай ещё jv16_PowerTools предварительно сделав скрытые файлы открытыми и откл. самозащиту в каспере и поиск как в реестре так и файлов. Была такая же беда и тоже с флешки, каспер то её убить то убил но где то у себя оставил, то ли в отчётах то ли в контроле прог., уже не помню.
 

ФдуЧ

Well-known member
VIP
Сообщения
838
Реакции
1,233
vintage, точно, оговорился - писал немного по памяти - Devices (Устройства) :)
Кстати, загрузиться с CureIt'ельного диска и просканироваться не пробовали? Если руткит известен - то в незагруженной системе ему не спрятаться - найдут и убьют.
И всё-таки, сделайте скан AVZ со свежими базами и приложите логи - там тоже часто видны следы невиданных зверей ;)
 

®Roma№I

New member
Новичок
Сообщения
0
Реакции
1,042
Я бы так посоветовал, если ты сам не задавал в свойствах того или иного файла -как скрытый, а папка на флэшке все таки скрытая и к ней приписано расширение .exe - значит это действительно вирус, и то что не KIS ни DrWeb его не обнаружили это все понятно, поставь иностранный антивирус по мощнее ESET NOD32, AVAST или AVIRA или Norton - у тех более жесткий механизм проверки да определение вредоносности
 

Yuraved

Дед Юравед
Команда форума
Гуру
Сообщения
5,266
Реакции
14,184
У меня что-то подобное с флешки влезало, я AVASTом просканировал в режиме "сканировать во время загрузки" - так он всё вычистил и работает комп норм теперь. Никаких ошибок не выдаёт. (правда бывает клаву не видит при загрузке, пока не перезагрузишь. Но точно не знаю отчего)
 

vintage

Пользователь
Пользователь
Сообщения
168
Реакции
24
GMERом просканил , поставил на ночь скан, сняв галку с "устройств" ну утром просыпаюсь, все сделано, я тут я начинаю сохронять лог, и все виснет, успел только название лог файла задать и нажать кнопку "сохранить" и тут все повисло, думал может так сохроняет, пол часа ждал, результата не было, пришлось снова при помощи ресета систему в ребут погрузить.

Кстати, загрузиться с CureIt'ельного диска и просканироваться не пробовали? Если руткит известен - то в незагруженной системе ему не спрятаться - найдут и убьют.
А как мне это слелать? имеете ввиду на другом компе просканировать?


У меня что-то подобное с флешки влезало, я AVASTом просканировал в режиме "сканировать во время загрузки" - так он всё вычистил и работает комп норм теперь. Никаких ошибок не выдаёт. (правда бывает клаву не видит при загрузке, пока не перезагрузишь. Но точно не знаю отчего)
А KIS не поругаеться с Avastом? если я не удаляя перваого установлю аваст?если KIS я уберу с автозапуска!?
 

TechAdmin

Administrator
Команда форума
Administrator
Сообщения
2,469
Реакции
2,347

iMo$

Как iPhone...
Ветеран
Сообщения
1,187
Реакции
1,778
Hkr, [OFF="1"]чистил тут у знакомых компьютер, так при попытке запуска в безопасном режиме сразу BSOD выпадал. Вирь постарался наславу....[/OFF]
 

TechAdmin

Administrator
Команда форума
Administrator
Сообщения
2,469
Реакции
2,347
[email protected], [OFF="см"]ну на этот случай можно воспользоваться и Live-CD, мне например очень нравиться и всегда имеется на всякий случай, даже если и не восстановить то хотя бы спасти инфу[/OFF]
 

ФдуЧ

Well-known member
VIP
Сообщения
838
Реакции
1,233
Руткиты тяжело лечить с заражённой системы... Поэтому лучше загрузиться с ЦДюка и отсканироваться. Загрузочный диск с лечебной утилью есть у касперского на сайте, сколько помню, но там до неё добираться непросто.
 
Сверху