Конференция VBStreets

[Proxy]

Не устанавливается радиобатон Показывать скрытые файлы и папки в Свойствах папки. Точней устанавливается, но не применяется. После повторного открывания свойств видно, что радиобатон не изменил положение. С чем это связано?
Как иначе можно сделать, чтобы в проводнике отображались скрытые файлы?
ЗЫ. Юзер с правами админа.

[nekeda]

это троян.

[Proxy]

Как замониторить? На обращении к чему? Где живёт?
ЗЫ. Нод обновлён сегодня (БД), ничего не нашёл. Унылый антивирь, больше половины нечисти всякой самому удалять приходится, т.к. неоткуда базу нормально обновить( Даже на то, что всякая зараза себя в Currentversion\Run прописывает не реагирует(

[Williams]

Proxy

Autoruns Руссиновича или Security Task Manager. Большинство антивирусов со своей примитивной эвристикой не способны распознавать даже простейшие модификации троянских коней.

[Proxy]

Как Autoruns мне поможет? Там вроде и нет ничего подозрительного в автозапуске. В сервисах ничего нового, в порождаемых Explorer`ом тоже ничего (хотя тут трудно понять, много всего). Подскажите что бы вы сделали в такой ситуации плз. Монитор реестра не отображает ничего подозрительного в момент сохранения/восстановления свойств. Там только Explorer.exe и Svchost.exe мелькают и всё. Может это баг самого explorer`a а не троян?
Вобщем я не силён в данном вопросе, поэтому прошу помощи.

[Williams]

лол... svchost подозреваемый номер 1 - излюбленое имя авторов Malware... Включи фильтр Майкросовтских сигнатур и отключи все лишнее на общей странице. Перезапустись и проверь, будет ли этот косяк, если не будет - включай по одному. Но учти, большинство троянов свои ключики регулярно ремонтируют... Так что в случае с Autoruns эффект не гарантируется, т.к. надо завершить процесс, прежде чем удалять из автозапуска.

[Proxy]

Вот так выглядит Диспетчер задач.
svchost 5 раз заюзан. Завершаешь - комп уходит в ребут сам.

[ACiD]

svchost 5 раз заюзан

Так и должно быть
я бы обратил внимание на ekrn.exe и equi.exe

[nekeda]

Я бы обратил внимание на файлы autorun.inf в корне локального диска.

[Proxy]

ekrn.exe и egui.exe это процессы порождаемые антивирем (egui.exe - графическая оболочка, ekrn.exe ядро антивиря), autorun.inf в корне нет. Мои дальнейшие действия?

[alibek]

Загрузись с LiveCD и прогони диск нормальным антивирусом. Не NOD-ом.

[Proxy]

Например? Просто у меня 64Кб/с, поэтому качать не один день и ошибиться в выборе антивиря нельзя. Есть ещё каспер на болванке. Базу могу обновить. Не подойдёт?

[alibek]

Образ Hiren's Boot CD занимает около 50Мб и его вполне можно скачать за один день. Но я имел ввиду, не скачать, а купить или одолжить у знакомых.
Из антивирусов могу посоветовать Symantec, Dr.Web, Касперского (естественно, со свежими базами). Все трое отлавливают данный вид вирусов (при условии тестирования из незараженной системы).

[nekeda]

У меня НОД прекрасно ловил и убивал эту заразу.

autorun.inf в корне нет

Ты учёл что он, естественно, скрытый, а у тебя сейчас скрытые файлы не отображаются?

[Денис]

Госсподи, установите файловый менеджер, e.g. Total Commander. Он показывает скрытые файлы отдельной настройкой (своей); и тут троян схлопочет в лоб.

[Williams]

Госсподи, установите файловый менеджер, e.g. Total Commander. Он показывает скрытые файлы отдельной настройкой (своей); и тут троян схлопочет в лоб.

Тогда уж накатать маленькую VB-утилиту, юзающую DIR с vbHidden ) Это по-нашему будет..

[Proxy]

Ты учёл что он, естественно, скрытый, а у тебя сейчас скрытые файлы не отображаются?

Я похож на идиота? Я через тотал и смотрел. Нету авторана в корне. И в реестре в ...\Currentversion\run этой заразы нету. А в Autoruns Руссиновича страшно всё подряд непонятное исключать.

[Saturn.65]

Я бы обратил внимание на файлы autorun.inf в корне локального диска.

Это и есть вирус авторан. Был у меня недавно. Правда я его убил с загрузочного Live CD. Он себя так не дает удалить, а вот переименовать запросто. Переименовал я его в JPG. Ну а после убил для приличия. Вот вам файлик реестра для показа скрытых папок, чтоб OptionButton фиксировался.

Код: Выделить всё

* Найдём следующий ключ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
* Удалим параметр CheckedValue в правом окне. (тип REG_SZ; значение, скорее всего, 2.)
* Теперь щёлкаем правой кнопкой мыши в этом же окне и выбраем "создать параметр DWORD". Называем его CheckedValue. Поставим значение на 1 (0x00000001) и нажимаем "ОК" или "Enter".

После, чтоб такой вирус, который антивири не ищут не цеплять, я содержимое дисков D и других перенес в папку, а сами диски под Shadow User. Теперь и инфа будет сохраняться и в корне диска ничего появиться не может.

[black_raven]

А никто не рассматривает такой вариант, что вирь может быть не только в EXe-шнике, но и в Dll-ке?

В рееестре есть раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Там прописаны Dll-ки, которые подключаются при старте системы и функции в этих Dll-ах, которые выполняются в зависимости от событий системы(вход в систему,выход из системы и т.д). Обрати внимание на этот раздел, может что найдёшь подозрительное.

[Хакер]

Человек, а ты рассматриваешь такой вариант, что прошло уже 1,5 года с момента проблемы, и её решили уж точно, рассмотрев все возможные варианты?