16 ответов в этой теме

[Kristina]

Доктор Веб при подключении флеш-карты обнаружил вирус E: RECYCLER S-1-5-21-1715­567821-515967899-83952211­5-10 ...., прописал что удалил, но я думаю не до конца...
Заметила, что не работает функция отображать скрытые системные папки и файлы.....
На флешках создает папку RECYCLER, которую видно только через проводник Доктор Веб, со съемных носителей начисто удаляется только форматированием, а как с ОС быть? как это исправить?

[Borka]

обнаружил вирус

Как Доктор его назвал?

---
С уважением,
Borka.

[pig]

На флешках создает папку RECYCLER

Если всё ещё создаёт, то живёт гад в системе. Базы у Доктора свежие? Сделайте полную проверку системы сканером, раз злодей обнаруживается в корзине, то, может, и в системе найдётся.

[Kristina]

Как Доктор его назвал?

Назвал BackDoor.Weby.27 в действиях прописал что удален.

[Borka]

http://wiki.drweb.com/index.php/%D0%95%D1%...%80%D0%BE%D1%81
Покажите лог Хайджека.

---
С уважением,
Borka.

[Kristina]

Базы у Доктора свежие?

Да свежие обновляюсь почти каждый час, только что проверила, на съемных носителях больше не создает, но в системе уже создал: у меня два винчестера, и один съемный жесткий, на всех трех уже создал папку RECYCLER, раньше этой папки на съемном жестком точно не было.
Через проводник в Доктор Веб видно что внутри папки RECYCLER находятся два файла desktor.ini и INFO2,,они должны там быть? хотя корзина у меня чистая. Операционная система при загрузке стала показывать ошибку: "не удалось найти ваш локальный профиль" и заново предлагает настроить параметры ..... вообщем нормально загружаюсь со второго третьего раза. Пожалуйста подскажите как исправить?

[Kristina]

Покажите лог Хайджека.

Вот Хайджека
Доктор Веб:Ошибка загрузки библиотеки доступа к дискам. Проверка загрузочных секторов недоступна.
[Проверяемый путь] E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500desktop.ini
E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500desktop.ini - Ok

[Проверяемый путь] E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500INFO2
E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500INFO2 - Ok

[v.martyanov]

Пришлите, пожалуйста, эти файлы в вирлаб (ссылка внизу страницы) и укажите тут номера тикетов

C:WINDOWSsystem32NOTEPAD.EXE
system32tscupgrd.exe (на всяк случай)

[pig]

у меня два винчестера, и один съемный жесткий, на всех трех уже создал папку RECYCLER

Если они NTFS, то это нормально. Такое хранилище для корзины сама система создаёт.

Через проводник в Доктор Веб видно что внутри папки RECYCLER находятся два файла desktor.ini и INFO2,,они должны там быть? хотя корзина у меня чистая.

Так чистая корзина на самом деле и должна внутри выглядеть.

Операционная система при загрузке стала показывать ошибку: "не удалось найти ваш локальный профиль" и заново предлагает настроить параметры

Оу... паршиво. Но не обязательно зверь. Попробуйте проверить диск на ошибки. Правой кнопкой по диску - Свойства - Сервис - Проверка диска

[Bargain Buddy]

Я подобного хмыря ещё 20 числа отправил, пока не детектируется.
#657363

[vladimir5101951]

правильно говорит про RECYCLER !!!! очень плохой вирус !!! троян!!!
D:/RECYCLER/kog.jpg

[vladimir5101951]

я ходил в фотошоп делать фотографии.принес от туда вирус-троян D:/RECYCLER/kog.jpg
комп на входе показал наличие трояна и удалил его. и вдруг не стала открываться флэшка.
мол, нет RECYCLER. тогда я отформатировал флэшку и все стало нормально!!!

[Igoreck]

Как удалось убить этот вирус.

Во-первых, о симптомах. Сначала невозможно было остановить флэшку. Всё время мигала, как будто непрерывно на ней идёт чтение-запись.

Увидел на ней каталог RECYCLER, который уж там никак нормаьно появиться не мог. Внутри кодкаталог
S-1-5-21-117609710-573735546-682003330-500 , что бывает и в нормальной корзине, и ещё один,
R-1-5-21-1482476501-1644491937-682003330-1013, а в нём файл winfixer.exe - он и есть корень проблемы. Вероятно создатели скрыли файл в корзине для того, чтобы сделать его неудаляемым, действительно, вы его удаляете - а он помещается в корзину, т.е., на прежнее место!

Долгое время было впечатление, что его заново создаёт какой-то левый процесс, который отловить было невозможно. Левые процессы действительно создвались: widrive.exe и undmgr.exe, но когда они убивались, вирусу было ни по чём, да и процессы эти со временем возвращались (после перегрузки, напр.)... На самом деле, видимо, winfixer их и плодил, копируя эти файлы в каталог Винды и system32, а они уже гадили по-своему, в частности, скорость в Инете падала почти до нулевой или обрывался коннект совсем, ну и другие мелочи.

Как выдрать:

в RECYCLER есть файл desktop.ini с содержимым

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

а это idшник виндовой "Корзины" . Тогда мы заходим в реестр - и меняем этот ID на, скажем 645FF040-5081-101B-9F08-00AA002F954F (предварительно, конечно, убедиться, что такого ID в реестре нет) - во всех местах, т.е., во всех ссылках на "Корзину". Перегружаемся.

Теперь все RECYCLERы на всех драйвах (винт, флэшки) - очень похожи на обычные каталоги, поэтому, не мешкая и свободно грохаем R-1-5-21-1482476501-1644491937-682003330-1013 вместе с вирусом!

Проверяем все свои флэшки и удаляем целиком RECYCLERы на них, если они есть.

Теперь находим и грохаем процессы widrive.exe и undmgr.exe и сами файлы. Заново их записать уже некому...

Теперь осталось дело за малым, восстановить в реестре старый ID для возвращения нормальной функциональности корзинке - и перегружаемся.


Сообщите, помогло ли.

[PAUK]

Igoreck 8/10/2008 - это дата первого сообщения в этой теме...

Сообщение было изменено PAUK: 16 Март 2011 - 18:29

[trim74]

Блин я схватил его.
Видится только фаром.
Качаю Dr.Web надеюсь поможет.

Блин угораздило же меня запустить этот файл в папке recycler

[userr]

trim74
пишите сюда http://forum.drweb.com/index.php?showforum=35

[Roman13]

Igoreck,

скажи пожалуйста как найти в реестре файл CLSID={645FF040-5081-101B-9F08-00AA002F954E} , чтобы его переименовать?