Последствия Win32.Sality - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Последствия Win32.Sality (http://forum.oszone.net/showthread.php?t=191870)

djtrofim

21-11-2010 19:43 1548048

Последствия Win32.Sality

Сегодня препод на флешку скинул лекции и предупредил о вирусах у них в машинах. Дома проверил, ну и конечно symantec наковырял w32.Sality!dr (походу сама бяка с autorun.inf) и Remacc.radmin (в основном exe файлы с названием папок). Все это он грохнул. Но вот на флешке теперь папок нет, а в свойствах пишет занято место, объемом суммарным размером папок. Можно ли че вытащить?
Так бы не спрашивал, проще еще раз к преподу сходить. Просто на будущее, вдруг где еще подхвачу, а восстановить неоткуда будет.

zirreX

21-11-2010 20:30 1548081

Здравствуйте!

Цитата:

Цитата djtrofim

Но вот на флешке теперь папок нет, а в свойствах пишет занято место, объемом суммарным размером папок. Можно ли че вытащить? »

Включите просмотр скрытых файлов и папок.

Советую подготовить стандартный набор логов (AVZ, RSIT)
http://forum.oszone.net/thread-98169.html

djtrofim

21-11-2010 21:08 1548110

Вложений: 1

Fedin, в таких советах почувствовал себя юзером. Я же говорю, даже из фара ничего нет, а место занимает.
Я так понимаю логи только этим софтом делать, но у меня стоит Symantec Endpoint Protection, и как он поведет себя при установке AVZ я не в курсе. Поэтому креплю логи SEP.

zirreX

21-11-2010 21:16 1548118

Цитата:

Цитата djtrofim

Я же говорю, даже из фара ничего нет, а место занимает. »

Про Far вы ничего не писали.

Цитата:

Цитата djtrofim

но у меня стоит Symantec Endpoint Protection, и как он поведет себя при установке AVZ я не в курсе. Поэтому креплю логи SEP. »

Никак он себя не поведет, если выгрузите его на время работы AVZ.

Drongo

21-11-2010 21:48 1548145

djtrofim, Когда будете делать логи, обязательно вставьте флешку в порт

djtrofim

22-11-2010 00:18 1548249

Вложений: 1

Опля, про Far извиняюсь, в другом месте написал, а ту нет. Итак, вот логи. Че то не вкурю, а обязательно было проверять avz для создания лога? В наше время Symantec'у не доверяют что ли, можно было и скрипт для него написать, для каспера так навояли. М-да...

thyrex

22-11-2010 09:22 1548369

Выполните скрипт в AVZ

Код:

begin

ExecuteRepair(6);

RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 

RebootWindows(true);

end.

Компьютер перезагрузится.

Показ скрытых файлов восстановился?

djtrofim

22-11-2010 14:59 1548632

Цитата:

Цитата thyrex

Выполните скрипт в AVZ »

Проблема не исчезла.
На всякий случай конфигурация: Eee PC 1015PEM, Win7 Starter, стандартный софт Asus для Eee, Symantec Endpoint Protection v11.
Походу всё же поставлю вскоре Pro или Enterprise, только сессия кончится.

thyrex

22-11-2010 15:26 1548651

Проверьте в реестре в ветке

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)

А также в ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

параметр "CheckedValue" тоже должен быть "1"

djtrofim

22-11-2010 15:48 1548664

Итак, в SuperHidden значение было 0, в Hidden 2, подтправил. ShowSuperHidden вообще нет такого параметра. CheckedValue норм. Перезагрузился. Эффекта нет. Место занято 1,22 Gb, а показывает пусто.

Еще вопрос, из карантина SEP надо обратно все вытаскивать при этих манипуляциях?

Drongo

22-11-2010 17:11 1548738

djtrofim, Если вставить флешку в другой компьютер, содержимое видно без проблем?

djtrofim

22-11-2010 18:33 1548818

Нашел машинку с KIS2011, походу тоже чего то нахапал владелец, так как тормозит жутко. Вставил флешку и быстрое сканирование дало удаление X:\...\texar\texar32.exe. Зашел на флеш - пусто, объем занятый тот же.

djtrofim

22-11-2010 20:02 1548888

Вложений: 1

Продолжая танцы с бубном: качнул RemoveIt Pro, просканировал, и в первый раз вижу, чтоб этот кролик на столько файлов ругался, и directx и vc библиотеки. Фиксить не рискнул, уж больно много системных. Может кто объяснит че случилось с RemovIT, иногда все таки помогала, когда остальный моргали. Лог работы прилагается.

djtrofim

23-11-2010 06:50 1549211

Вложений: 1

И так новые данные: решил посмотреть, что будет, если сделать образ флешки. И тут я был удивлен, UltraISO, создав и открыв образ, показала мои папочки + появилась папка Texar (я так думаю именно в ней KIS2011 нашел гада, теперь там только Desktop.ini). Соответственно можно все вытащить. Структура папок тоже интересна, ни разу не видал, чтоб какая нибудь бяка так делала. Скрин прикреплен. В нижней части скрина UltraISO показывает открытую флешку, как видно, папок не кажет. А вот в верху образ этой флешки...

Время: 22:34.