вирус E:\ RECYCLER \S-1-5-21-1715567821-515967899-839522115-10 ....,
#1
Отправлено 08 Октябрь 2008 - 11:35
Заметила, что не работает функция отображать скрытые системные папки и файлы.....
На флешках создает папку RECYCLER, которую видно только через проводник Доктор Веб, со съемных носителей начисто удаляется только форматированием, а как с ОС быть? как это исправить?
#2
Отправлено 08 Октябрь 2008 - 12:41
Как Доктор его назвал?обнаружил вирус
---
С уважением,
Borka.
#3
Отправлено 08 Октябрь 2008 - 13:06
Если всё ещё создаёт, то живёт гад в системе. Базы у Доктора свежие? Сделайте полную проверку системы сканером, раз злодей обнаруживается в корзине, то, может, и в системе найдётся.На флешках создает папку RECYCLER
#4
Отправлено 08 Октябрь 2008 - 13:36
Назвал BackDoor.Weby.27 в действиях прописал что удален.Как Доктор его назвал?
#5
Отправлено 08 Октябрь 2008 - 13:40
Покажите лог Хайджека.
---
С уважением,
Borka.
#6
Отправлено 08 Октябрь 2008 - 14:15
Да свежие обновляюсь почти каждый час, только что проверила, на съемных носителях больше не создает, но в системе уже создал: у меня два винчестера, и один съемный жесткий, на всех трех уже создал папку RECYCLER, раньше этой папки на съемном жестком точно не было.Базы у Доктора свежие?
Через проводник в Доктор Веб видно что внутри папки RECYCLER находятся два файла desktor.ini и INFO2,,они должны там быть? хотя корзина у меня чистая. Операционная система при загрузке стала показывать ошибку: "не удалось найти ваш локальный профиль" и заново предлагает настроить параметры ..... вообщем нормально загружаюсь со второго третьего раза. Пожалуйста подскажите как исправить?
#7
Отправлено 08 Октябрь 2008 - 14:30
Вот ХайджекаПокажите лог Хайджека.
Доктор Веб:Ошибка загрузки библиотеки доступа к дискам. Проверка загрузочных секторов недоступна.
[Проверяемый путь] E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500desktop.ini
E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500desktop.ini - Ok
[Проверяемый путь] E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500INFO2
E:RECYCLERS-1-5-21-1252429483-783906636-1564661907-500INFO2 - Ok
#8
Отправлено 08 Октябрь 2008 - 14:33
C:WINDOWSsystem32NOTEPAD.EXE
system32tscupgrd.exe (на всяк случай)
#9
Отправлено 08 Октябрь 2008 - 17:38
Если они NTFS, то это нормально. Такое хранилище для корзины сама система создаёт.у меня два винчестера, и один съемный жесткий, на всех трех уже создал папку RECYCLER
Так чистая корзина на самом деле и должна внутри выглядеть.Через проводник в Доктор Веб видно что внутри папки RECYCLER находятся два файла desktor.ini и INFO2,,они должны там быть? хотя корзина у меня чистая.
Оу... паршиво. Но не обязательно зверь. Попробуйте проверить диск на ошибки. Правой кнопкой по диску - Свойства - Сервис - Проверка дискаОперационная система при загрузке стала показывать ошибку: "не удалось найти ваш локальный профиль" и заново предлагает настроить параметры
#10
Отправлено 24 Октябрь 2008 - 19:41
#657363
#11
Отправлено 24 Январь 2010 - 19:59
D:/RECYCLER/kog.jpg
#12
Отправлено 26 Январь 2010 - 18:26
комп на входе показал наличие трояна и удалил его. и вдруг не стала открываться флэшка.
мол, нет RECYCLER. тогда я отформатировал флэшку и все стало нормально!!!
#13
Отправлено 16 Март 2011 - 17:14
Во-первых, о симптомах. Сначала невозможно было остановить флэшку. Всё время мигала, как будто непрерывно на ней идёт чтение-запись.
Увидел на ней каталог RECYCLER, который уж там никак нормаьно появиться не мог. Внутри кодкаталог
S-1-5-21-117609710-573735546-682003330-500 , что бывает и в нормальной корзине, и ещё один,
R-1-5-21-1482476501-1644491937-682003330-1013, а в нём файл winfixer.exe - он и есть корень проблемы. Вероятно создатели скрыли файл в корзине для того, чтобы сделать его неудаляемым, действительно, вы его удаляете - а он помещается в корзину, т.е., на прежнее место!
Долгое время было впечатление, что его заново создаёт какой-то левый процесс, который отловить было невозможно. Левые процессы действительно создвались: widrive.exe и undmgr.exe, но когда они убивались, вирусу было ни по чём, да и процессы эти со временем возвращались (после перегрузки, напр.)... На самом деле, видимо, winfixer их и плодил, копируя эти файлы в каталог Винды и system32, а они уже гадили по-своему, в частности, скорость в Инете падала почти до нулевой или обрывался коннект совсем, ну и другие мелочи.
Как выдрать:
в RECYCLER есть файл desktop.ini с содержимым
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
а это idшник виндовой "Корзины" . Тогда мы заходим в реестр - и меняем этот ID на, скажем 645FF040-5081-101B-9F08-00AA002F954F (предварительно, конечно, убедиться, что такого ID в реестре нет) - во всех местах, т.е., во всех ссылках на "Корзину". Перегружаемся.
Теперь все RECYCLERы на всех драйвах (винт, флэшки) - очень похожи на обычные каталоги, поэтому, не мешкая и свободно грохаем R-1-5-21-1482476501-1644491937-682003330-1013 вместе с вирусом!
Проверяем все свои флэшки и удаляем целиком RECYCLERы на них, если они есть.
Теперь находим и грохаем процессы widrive.exe и undmgr.exe и сами файлы. Заново их записать уже некому...
Теперь осталось дело за малым, восстановить в реестре старый ID для возвращения нормальной функциональности корзинке - и перегружаемся.
Сообщите, помогло ли.
#14
Отправлено 16 Март 2011 - 18:29
Сообщение было изменено PAUK: 16 Март 2011 - 18:29
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#15
Отправлено 01 Июнь 2011 - 18:56
Видится только фаром.
Качаю Dr.Web надеюсь поможет.
Блин угораздило же меня запустить этот файл в папке recycler
#17
Отправлено 06 Июль 2011 - 09:17
скажи пожалуйста как найти в реестре файл CLSID={645FF040-5081-101B-9F08-00AA002F954E} , чтобы его переименовать?
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых